FireEye
Products and Services PRODUCTS & SERVICES

Rassurer les clients Sophos suite au vol des outils Mandiant/FireEye

Suite au vol d'outils offensifs (Red Team) de Mandiant/FireEye par un groupe malveillant de type État-nation, nous souhaitons rassurer tous les clients Sophos que nos produits existants contiennent de nombreuses protections contre les futures attaques potentielles qui pourraient exploiter les outils volés.

Récemment, Mandiant/FireEye a révélé qu’un adversaire très sophistiqué sponsorisé par un État avait volé des outils de sécurité offensifs de la Red Team de FireEye.

L’utilisation d’outils de sécurité offensifs est une pratique courante dans le secteur de la cybersécurité, nous les utilisons nous-mêmes pour tester notre protection contre les cyberattaques simulées.

Suite à cette violation, FireEye a rendu public un ensemble de règles en matière de contre-mesures. Les véritables outils n’ont pas été rendus publics et ne sont toujours pas disponibles pour les tests. Néanmoins, le secteur de la sécurité a pu utiliser les informations publiées par FireEye pour collecter les IOC d’attaque pertinents à partir d’autres sources disponibles.

Nous avons vérifié l’état de détection sur les échantillons d’attaque à notre disposition et les premiers résultats montrent que l’écrasante majorité était déjà détectée par les définitions anti-malware Sophos existantes.

Nous avons effectué d’autres mises à jour de détection depuis la divulgation et sommes en train de localiser et de vérifier la détection de tout autre composant qui pourrait être pertinent.

Vous trouverez ci-dessous les principaux noms de détection Sophos associés à ces outils :

  • Mal/Swrort-AE,-L
  • Troj/Rubeus-*
  • BloodHoundAD (PUA)
  • Troj/Seatbelt-A
  • Mal/Zafkat-A
  • ATK/Cobalt-A,-B,-V,-G
  • Exp/20201472-A
  • Troj/PrivEsc-*
  • ATK/PrivEsc-*
  • Troj/DocDl-ABQE
  • Troj/Agent-BGFM
  • ATK/Tlaboc-F
  • Exp/20132465-A
  • Harmony Loader (Hacktool)
  • Troj/Agent-AYZU
  • Troj/AutoG-ID

Cet ensemble d’outils volé est axé sur les techniques de post-exploitation. Selon FireEye, les composants volés ne contenaient pas d’exploits zero-day. Les entreprises qui appliquent régulièrement des correctifs de sécurité dans leur domaine sont correctement préparées via à vis d’une utilisation potentiellement abusive de ces outils.

Nous avons vérifié les vulnérabilités mentionnées dans les fichiers de “contre-mesures” de FireEye par rapport aux bases de données de signatures IPS de Sophos utilisées par Sophos XG Firewall et Sophos UTM et nous sommes heureux de confirmer la forte couverture du jeu de signatures existant. Un sous-ensemble de signatures relatif à la protection des endpoints est également disponible au niveau de l’IPS de ces derniers.

CVE IPS Sid (Sophos XG Firewalls)
CVE-2019-0708 1190514210
CVE-2017-11774 8422
CVE-2018-15961 2300872, 1181116050
CVE-2019-19781 2301366, 52620, 2301639, 2303158
CVE-2019-3398 50169, 50170, 50168
CVE-2019-11580 In release pipeline
CVE-2018-13379 2301565, 51371, 51372, 2300726
CVE-2020-0688 2302419, 2302422
CVE-2019-11510 1190822080
CVE-2019-0604 55862, 49861
CVE-2020-10189 2302318, 2302321, 2302322, 53434, 2302053, 2302054
CVE-2019-8394 In release pipeline
CVE-2016-0167 38491, 38765
CVE-2020-1472 56290, 1200811220, 2304011, 2304013, 2304014, 2304015, 2304016, 2304017, 55802, 55704, 55703, 2303764, 2303765, 2303768, 2303769
CVE-2018-8581 1000550

 

Si vous avez des doutes concernant l’utilisation potentielle de ces outils dans de futurs scénarios d’attaque réels, n’hésitez pas à contacter votre représentant Sophos.

En attendant, nous encourageons tous les clients à utiliser cet incident comme une opportunité pour vérifier que vos correctifs de sécurité soient correctement à jour.

En tant que membre actif de la Cyber ​​Threat Alliance, Sophos s’engage à travailler collectivement avec le secteur de la cybersécurité pour lutter contre la cybercriminalité. Nous félicitons FireEye pour leur divulgation et avons contacté leur équipe de sécurité pour partager plus d’informations sur les outils actuels.

Billet inspiré de Reassuring Sophos customers following the theft of Mandiant/FireEye tools, sur le Blog Sophos.