Récemment, Mandiant/FireEye a révélé qu’un adversaire très sophistiqué sponsorisé par un État avait volé des outils de sécurité offensifs de la Red Team de FireEye.
L’utilisation d’outils de sécurité offensifs est une pratique courante dans le secteur de la cybersécurité, nous les utilisons nous-mêmes pour tester notre protection contre les cyberattaques simulées.
Suite à cette violation, FireEye a rendu public un ensemble de règles en matière de contre-mesures. Les véritables outils n’ont pas été rendus publics et ne sont toujours pas disponibles pour les tests. Néanmoins, le secteur de la sécurité a pu utiliser les informations publiées par FireEye pour collecter les IOC d’attaque pertinents à partir d’autres sources disponibles.
Nous avons vérifié l’état de détection sur les échantillons d’attaque à notre disposition et les premiers résultats montrent que l’écrasante majorité était déjà détectée par les définitions anti-malware Sophos existantes.
Nous avons effectué d’autres mises à jour de détection depuis la divulgation et sommes en train de localiser et de vérifier la détection de tout autre composant qui pourrait être pertinent.
Vous trouverez ci-dessous les principaux noms de détection Sophos associés à ces outils :
- Mal/Swrort-AE,-L
- Troj/Rubeus-*
- BloodHoundAD (PUA)
- Troj/Seatbelt-A
- Mal/Zafkat-A
- ATK/Cobalt-A,-B,-V,-G
- Exp/20201472-A
- Troj/PrivEsc-*
- ATK/PrivEsc-*
- Troj/DocDl-ABQE
- Troj/Agent-BGFM
- ATK/Tlaboc-F
- Exp/20132465-A
- Harmony Loader (Hacktool)
- Troj/Agent-AYZU
- Troj/AutoG-ID
Cet ensemble d’outils volé est axé sur les techniques de post-exploitation. Selon FireEye, les composants volés ne contenaient pas d’exploits zero-day. Les entreprises qui appliquent régulièrement des correctifs de sécurité dans leur domaine sont correctement préparées via à vis d’une utilisation potentiellement abusive de ces outils.
Nous avons vérifié les vulnérabilités mentionnées dans les fichiers de “contre-mesures” de FireEye par rapport aux bases de données de signatures IPS de Sophos utilisées par Sophos XG Firewall et Sophos UTM et nous sommes heureux de confirmer la forte couverture du jeu de signatures existant. Un sous-ensemble de signatures relatif à la protection des endpoints est également disponible au niveau de l’IPS de ces derniers.
| CVE | IPS Sid (Sophos XG Firewalls) |
| CVE-2019-0708 | 1190514210 |
| CVE-2017-11774 | 8422 |
| CVE-2018-15961 | 2300872, 1181116050 |
| CVE-2019-19781 | 2301366, 52620, 2301639, 2303158 |
| CVE-2019-3398 | 50169, 50170, 50168 |
| CVE-2019-11580 | In release pipeline |
| CVE-2018-13379 | 2301565, 51371, 51372, 2300726 |
| CVE-2020-0688 | 2302419, 2302422 |
| CVE-2019-11510 | 1190822080 |
| CVE-2019-0604 | 55862, 49861 |
| CVE-2020-10189 | 2302318, 2302321, 2302322, 53434, 2302053, 2302054 |
| CVE-2019-8394 | In release pipeline |
| CVE-2016-0167 | 38491, 38765 |
| CVE-2020-1472 | 56290, 1200811220, 2304011, 2304013, 2304014, 2304015, 2304016, 2304017, 55802, 55704, 55703, 2303764, 2303765, 2303768, 2303769 |
| CVE-2018-8581 | 1000550 |
Si vous avez des doutes concernant l’utilisation potentielle de ces outils dans de futurs scénarios d’attaque réels, n’hésitez pas à contacter votre représentant Sophos.
En attendant, nous encourageons tous les clients à utiliser cet incident comme une opportunité pour vérifier que vos correctifs de sécurité soient correctement à jour.
En tant que membre actif de la Cyber Threat Alliance, Sophos s’engage à travailler collectivement avec le secteur de la cybersécurité pour lutter contre la cybercriminalité. Nous félicitons FireEye pour leur divulgation et avons contacté leur équipe de sécurité pour partager plus d’informations sur les outils actuels.
Billet inspiré de Reassuring Sophos customers following the theft of Mandiant/FireEye tools, sur le Blog Sophos.
