首篇文章《FireEye探讨近期网络攻击细节及应对措施》文章首先坦承最近受到高度复杂的
网络攻击,从攻击者的行为、操作的隐蔽性和使用的技术来看,被认为是国家自主的组织攻击
。CEOKevin认为这是他25年来遇到的顶级攻击,整个过程可以说是定制Fireye。
Fireeye指出了这次事件的一些影响。
1、攻击者访问红队安全评价工具,认为工具已经泄露。2.这些工具不包括0Day。3、但这些
工具有免杀能力,预计会影响社会。4、客户信息和TI收集的元数据未泄露。
工具有免杀能力,预计会影响社会。4、客户信息和TI收集的元数据未泄露。
精彩之处在于Fireeye应急响应:1、可以写出300多条安全检测规则,利用这些规则,发现使
用他家具的攻击行为。2、Fireeye家庭安全产品内置了这些检查规则(自己的矛攻击自己的矛
盾)作为上市公司,根据《证券交易法》进行了积极的声明。
用他家具的攻击行为。2、Fireeye家庭安全产品内置了这些检查规则(自己的矛攻击自己的矛
盾)作为上市公司,根据《证券交易法》进行了积极的声明。
第二篇文章《Fireeye红队工具未经许可访问》
本文首先对FireEye红队工具做了基本说明:
1、工具中既有简单的自动化信息采集脚本,也有CobaltStrike、Metasploit等公开技术框架。
2、许多红队工具已经在社区发布,在他们的开源虚拟机CommandoVM中。(https://github.co
m/fireye/commando-vm)
m/fireye/commando-vm)
3、修改了一些公共工具,可以绕过通常的安全检查。
4、团队内部开发了其他工具和框架。
5、不存在0day。
有几种感觉:
1.面对问题的勇气。作为一家公司,是上市公司。自己被入侵是羞耻,但FireEye不是掩饰,而是
公开暴露是很重要的。前几天的大规模攻防演习中,安全产品不安全的段落也满天飞,各大安全
公司也互相拆台,SXFEDR更加暴力,最后SXF选择公开自己的产品,面对问题,值得鼓励。2.
准备矛盾和矛盾。许多安全制造商,红队只负责攻击,不负责写检查规则。如果有漏洞的挖掘队
伍,新挖掘的漏洞和规则库作为PR增加了自己的产品能力,对于红队开展日常服务的工具,有
检查规则吗?特别是杀软绕道、HIDS绕道、提取权利的工具,这里有疑问。3.安全共赢的生态
。Fireeye发表的战略有TI、网络、主机等水平的检查规则,可以跨越不同厂家的产品,最大限
度地减轻社会问题的影响。想象一下国内发生了什么样的场面。
公开暴露是很重要的。前几天的大规模攻防演习中,安全产品不安全的段落也满天飞,各大安全
公司也互相拆台,SXFEDR更加暴力,最后SXF选择公开自己的产品,面对问题,值得鼓励。2.
准备矛盾和矛盾。许多安全制造商,红队只负责攻击,不负责写检查规则。如果有漏洞的挖掘队
伍,新挖掘的漏洞和规则库作为PR增加了自己的产品能力,对于红队开展日常服务的工具,有
检查规则吗?特别是杀软绕道、HIDS绕道、提取权利的工具,这里有疑问。3.安全共赢的生态
。Fireeye发表的战略有TI、网络、主机等水平的检查规则,可以跨越不同厂家的产品,最大限
度地减轻社会问题的影响。想象一下国内发生了什么样的场面。
-A家红队工具泄露,发布工具检测规则。
-b家的NTA战略语法不一致,需要几天修改检查规则。
-C家的AV不支持用户定制规则,也需要等几天修改规则。
-D家威胁信息说不支持这种格式,再过几天就加IOC了。
有人说你想得太多了。a家为什么要公布检查规则?宣传和大众的记忆是最好的商业规则。