FireEye红队东西遭窃取，腾讯平安已检测到数百个契合规则的操纵样本

12月8日，英国重要信息平安可靠子公司 FireEye 非官方网志发声明称“簿本公司遭某政府骇客侵略，FireEye 用做查验顾客平安可靠攻击潜能的蓝队辅助东西（Red Team Tool）失窃"。百度平安可靠研究者认为，本次外泄的蓝队辅助东西（Red Team Tool）可能将对资本共享机构重要信息平安可靠带来严峻挑战，百度平安可靠项目组已来犯，随时筹办截击通俗用户接纳此类辅助东西的蓄意行为。

按照 FireEye 公布的重要信息，失窃的蓝队辅助软件次要包罗用做主动侦查的简单脚本，近似于 CobaltStrike 和 Metasploit 等申明控造手艺的整个框架，没有 0day 平安破绽。但“骇客接纳全新控造手艺窃取FireEye掌握的平安可靠辅助东西组件，那可能将成为全球第二波还击海潮的起点。”

Fireeye非官方陈述书（https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html）机杜博韦截屏如下表所示：

“译者译者”那段话，就是Fireeye陈述书说，“他们是世界级的明星平安可靠子公司，他们很强，但不幸被专业骇客侵略了，他们平常干活用的一些辅助东西被骇客拿走了。那些辅助东西可能将被侵略者用来利莫尼……“Fireeye子公司已将那些辅助东西的查验原则申明到Github：（https://github.com/fireeye/red_team_tool_countermeasures）

平安可靠研究者认为，该该事务的危险性可比2016年骇客组织机构“影子经纪人”侵略另一个骇客组织机构“方程组组织机构”（Equation Group），然后将其还击辅助东西公诸于世。那些被申明的辅助软件次要包罗源自英国CIA（NSA）的结合做战枪械，此中最出名的是“永久之蓝”系列平安破绽借助辅助软件包，该该事务迫使微软子公司告急正式发布多个平安可靠更新。

2016年的那起还击该事务影响迄今，4年来，那些被申明的、源自英国CIA（NSA）的结合做战枪械被不可胜数的通俗用户借助，造造了数不清的互联网侵略毁坏该事务，此中次要包罗恶名昭彰的WannaCry欺诈电脑病毒该事务。迄今仍有大量矿机地牢、欺诈病毒通俗用户会接纳、照顾那些辅助东西对资本共享机构互联网展开侵略渗入。

百度平安可靠项目组对此次Fireeye被侵略Red Team辅助东西失窃该事务高度存眷，按照Fireeye申明的文件，在已外泄的蓝队辅助东西枪械库中，次要包罗部门已知平安破绽借助辅助东西。那些平安破绽借助辅助东西，百度平安可靠项目组在有关平安破绽重要信息披露后均已具有查验潜能。他们已按照Fireeye申明的查验原则晋级了百度平安可靠本款商品，目前已全力撑持查验、防御Fireeye蓝队辅助东西蓄意借助还击。

按照Fireeye申明正式发布的查验原则，他们已查验到具有那些特征的蓄意样品241个，次要包罗H55N辅助东西、Windows/Linux平台后门、Loader、地牢功用应用法式、垂钓文件格局、平安破绽借助法式。

百度平安可靠商品应对Fireeye蓝队辅助东西外泄的查验清单如下表所示：

应用场景平安可靠商品处理计划严峻威胁谍报部分百度T-Sec严峻威胁谍报部分云查办事项目（SaaS）1）Fireeye蓝队辅助东西借助样品有关IOCs已拆箱。各类平安可靠商品可通过“严峻威胁谍报部分云查办事项目”供给的接口提拔严峻威胁辨识潜能。可参照:https://cloud.tencent.com/product/tics百度T-Sec高阶严峻威胁上溯控造系统1）Fireeye蓝队辅助东西借助样品有关重要信息和谍报部分已全力撑持检索。收集办理可通过严峻威胁上溯控造系统，阐发条记，展开线索研判、上溯互联网侵略泉源。T-Sec高阶严峻威胁上溯控造系统的更多重要信息，可参照：https://cloud.tencent.com/product/atts

云原生平安可靠防护云内网（Cloud Firewall，CFW）基于互联网流量展开严峻威胁查验与主动截击，已全力撑持：1）Fireeye蓝队辅助东西借助样品联系关系的IOCs已全力撑持辨识查验；2）全力撑持查验Fireeye蓝队辅助软件包有关平安破绽借助的查验。 有关云内网的更多重要信息，可参照：

https://cloud.tencent.com/product/cfw百度T-Sec 主机平安可靠（Cloud Workload Protection，CWP）1）已全力撑持查杀Fireeye蓝队辅助东西借助样品； 百度主机平安可靠（云镜）供给云上末端的防毒杀毒、防侵略、平安破绽办理、基线办理等。关于T-Sec主机平安可靠的更多重要信息，可参照：https://cloud.tencent.com/product/cwp百度T-Sec 平安可靠运营中心基于顾客云端平安可靠数据和百度平安可靠大数据的云平安可靠运营平台。已接入百度主机平安可靠（云镜）、百度御知等商品数据导入，为顾客供给平安破绽谍报部分、严峻威胁发现、该事务处置、基线合规、及泄露监测、风险可视等潜能。 关于百度T-Sec平安可靠运营中心的更多重要信息，可参照：https://s.tencent.com/product/soc/index.html非云企业平安可靠防护百度T-Sec高阶严峻威胁查验控造系统（百度御界）全力撑持查验Fireeye蓝队辅助东西借助样品。 关于T-Sec高阶严峻威胁查验控造系统的更多重要信息，可参照：https://cloud.tencent.com/product/nta百度T-Sec末端平安可靠办理控造系统（百度御点）已全力撑持查杀契合Fireeye蓝队辅助东西借助的蓄意文件。 百度御点供给企业末端的防毒杀毒、防侵略、平安破绽办理、基线办理等潜能，关于T-Sec末端平安可靠办理控造系统的更多材料，可参照：https://s.tencent.com/product/yd/index.html

注：

FireEye是一家申明上市的英国重要信息平安可靠子公司，供给用做应对高阶互联网严峻威胁的主动严峻威胁取证及动态蓄意软件防护办事项目，如高阶持续性严峻威胁（APT）和鱼叉式互联网垂钓（Spear phishing）。FireEye是第一家由英国疆土平安可靠部颁布认证的重要信息平安可靠子公司，该子公司曾屡次披露世界各地与国度布景有关的专业骇客还击活动。

IOCs

MD5

b9c7deb0d1783c971f7eb9d08ad9c8c8

f4a4c34ce46490fec6ce00fedd1a4091

6065e2888e1d8dc6716cde626a7011ae

618e30a0f5aa6119ea7687399227e776

d6a69f04e8747428f7dab5b03b50e7fa

e78cfa3c8c63eff71020f4f709321a2e

9cb1fa49d92d6473693acf507802bfae

055cda6fdd1816579192667d59b9bf63

1985ec69f39400e1c6acbe6f31d04906

ffb41e9ffd824784b6ab5f24fabcad14

91aeba7d239fb32ad596f86dfd0c283e

9cacdb4b14a94bff07ce9cde90f6680a

d2be8c7ab64648efd20ea60defc8348f

d6c86ad30833bf1705c66d7c39dc14f6

2744f6cd65f3224acc15da1f376c2c89

29889d4e0257fcb9b2115fbaf60a288d

826257e6b8b3c6ad16e80078ee9d8ead

37821cc1570359bffe8a39c232313be7

063a21668fac6562e947322855b1c8f8

18b4b628af390212182fc083946e0f92

8ec65a8e0267e9a2cb3305556daa394d

457af86f65e9a9cf90c8191970bc5024

b997b8b40e229a14d59bb50f95650558

bf18a516dae5567acaf57899085b3d26

c21667b26a69d1c59e34b7c72b213afc

6aa5a7cb62a32e13b36f66a30de55f64

2aa34871b1d36c01896968050c662d18

d507987ed2022e929ec5b43a002a8d6f

e66f9d44e3eead16613ca5cf2f299f4d

94f691d9e79c7035c1b4bc1c183cc77e

08710f09afdb9824d76b7e74a7ff619a

c2f04d44cb2bbdcc9e24869ec8d09af5

6106ab1ea4b9b422e5ca797f5cc36f10

ce58aab12a9a31173cd8c99b12ef00f5

00944e3901e8df234bdef456888389fe

45368240409933f9ea667f49c27d337a

a586e48af444bfcea181d10eb1f16c10

8711071f5327cb7dc43525e35d541560

bbaca7cb1ba8f613cd50c86695e8dd7c

3452fcdc86c04d73b9d6e248360aa70d

99bca59e14c269c791068055da192fec

5a30d955c13eb19c2b3d059257d141b5

c60cd46a33777c4bbad2afafb6be833a

a9813ad9955e393f3726e2e1181ba57e

67e49fbe2a0a11971d3f3b9cff799f35

50f6d6a572850bb9d54db53f6b819338

3e4a6982f9b4bc0e52644a0ed1068257

37e88291c8b7106b0d02edb76fe58f22

30b40f4c88cc0072f143c4123ffc2bbc

4917546cbfe983f87b5a4ed516f37913

66e0681a500c726ed52e5ea9423d2654

b188cec9b3b6d3ea2c51ee231a8a02d5

a33091786d1e261bda3dc34c1664d536

24e1ee25aab475d362e4d41d70fd43c7

f7f5201ea25bd7872547d18fcd309ec3

2439cc085aecc4b5e994d14fbff8d317

e8de957b31e47a968c10dcfca4151076

c280980a8d9b104090f935778f7ff16d

17fcbb747fd75d2c4ad8fbe7cff458ac

032c26166bff2fe4e99af44e0c2f66e7

37dce134614bfe61c2865a245528f215

7ceb7f3dc2f65aa829e65ee7650da010

1620245c600b1e2df9ddf5954bfcf742

c4f633401814ac5fd6bf40aedcdf2647

1fa0665a44cfb8ce46a47ff4e259f0b1

315b9d17983236af8283fe610b8b8a27

dae087e18ea7ba404a6aaac56c51c6de

50842330e342a17974dcfc5a742a78b8

050a3b5f2889e021f1e324fb8296ca31

69e51ef01af747fbeeadd5944f829f5b

cf22ebafd3860942810595c2466ad3c0

39aa003268c99ceeb9007510a42252df

8a664cc39c5bf13cec1a94fc4f7cfc32

7d280516fc77a4ca07fbd61dfb27702b

40d0bd5be5b7fd2e16d1e90daf79275a

d01a5bac93efd751471d2a251fe03d1f

3925eaf7944f5a000d781c32745e4ca3

fa4f1a53806ed122ab35edf8a190048c

785967c4f252639d2aaff0063093f7cc

302db7655a76c6453489329b81958414

be46e04964bf1efce9a91b06fc4f2302

463e2438a409feada7d47ebdeb91dc5d

ed00e37b7f294a775fea7870c534b9bc

f1579433e33a0fb01b84ac6f46d23ce5

39176c4f54ba908ac98150e54ab95f68

3fdc613293f94f469d4e5c6a12b95dc8

8d1c1ea43d70713ddf1694336e0be4f5

0c7a7ff5442b5240e481f94d8e94306b

ab0a26d8039adda9123b2340ace09639

c92c1364cdcf0d43b3b7028902470c0f

7f3f4400d302db11b00f78f58b3efb9a

f8dcf98925f5ab71c6d4360c37d50d83

22a1fa6fe8d3cb18986f186893495f60

1278663528c7646542ae2f8a3a2d5abb

00efae70ad1e80c2229f6b105ce7c76c

b78e37d0dea7370c95162f591ca7e5a0

8bb9caac1d7df97c43ab283fd6704c2c

fedc8c554106e8380987bed396136402

f9e2b1007c4752b808b8acb0060c12cb

3221d60cc531d6f56844f75d6fe8830e

f28968705737f43ec7f253e22e1b7146

3c48ac4312765b53133ffde4d67dd410

2ab45bf1db2f0e797116b26248580704

8028bb01477b32ff99b627d75444bd22

dd85dd41958ff70542a5373c0bc949c8

f7b9b2e1c9bf9f1eaa45ea3be915e581

c16d31577d4ddb6869f7e2a7977b7c42

6221f936ccfce259f0b1b6da063742c9

22faa16e6f79e25b81b60b9bb80a2fdf

5c0a5d1df830dcd6987c9bf0f3ec68c5

bae847e8f1be533f52db37112dd93650

4dfcd5e9710ab35fbcaf40ed74f18295

4bc217374731ae8289936ba2e422af76

0b1110eeceee2d24cb4e50ac00f62e13

7477da8b06ad7cf0b404ccd4bee76b75

ee48aa8d8768b023fb1dc1e4f43a1644

7748fd8d4294b0005d4d1ab6cf041461

2cfb8b63f78bfcf4ea1f21961b9cf49e

220919b6f36ae9505d13429e4013be9f

55c2a8bd2cd2e882fa3ca9065de263a1

70d8633492822c28e6cdf61250917c08

4997b818540e90aca36c910e9422009f

ce35a560faca8d2193e2f6fb1d5bbf84

9d38a2d307e6b95861d00603f18a2a4d

93743e4ba5b3607729304a7dd14b2ced

106ef839714757ba77228be9987669e0

7124347bfd1259ef51933fb262102f3e

8900e6e2e028afa95a4f6681c8adbb36

3fb9341fb11eca439b50121c6f7c59c7

00825e0b95f383594c423058436c9cbd

158eb6eaaf4728e485a4f03d70e4eaa7

65254c999e93859b1441eda254cc8903

ca1631eabff44c7a3130e9e2ed678d13

d977a95fd2932b7883aaad9bd5558475

d816dc166a73153560f618df02a47793

5e8343ce6c6e2894f46648c532b241e3

e36c6c58da6f5906294c7358afa9d241

2990b693444009c177efffa10c5c26bb

044417089984eaf3c5ba42416959683a

82dadcfdddc0d12a53f0d4c57e92bd36

8d4334a12b3004c16a39fd16c4f73db3

bc4fc9bdfa9cb4599396c25ff32998bb

f41074be5b423afb02a74bc74222e35d

e89efa88e3fda86be48c0cc8f2ef7230

995120b35db9d2f36d7d0ae0bfc9c10d

f7d9961463b5110a3d70ee2e97842ed3

f20824fa6e5c81e3804419f108445368

5e14f77f85fd9a5be46e7f04b8a144f5

dd8805d0e470e59b829d98397507d8c2

7af24305a409a2b8f83ece27bb0f7900

100d73b35f23b2fe84bf7cd37140bf4d

4e7e90c7147ee8aa01275894734f4492

edcd58ba5b1b87705e95089002312281

66cdaa156e4d372cfa3dea0137850d20

5125979110847d35a338caac6bff2aa8

04eb45f8546e052fe348fda2425b058c

e7beece34bdf67cbb8297833c5953669

8025bcbe3cc81fc19021ad0fbc11cf9b

9c8eb908b8c1cda46e844c24f65d9370

9e85713d615bda23785faf660c1b872c

cdf58a48757010d9891c62940c439adb

a107850eb20a4bb3cc59dbd6861eaf0f

a8b5dcfea5e87bf0e95176daa243943d

9dcb6424662941d746576e62712220aa

4bf96a7040a683bd34c618431e571e26

0a86d64c3b25aa45428e94b6e0be3e08

79259451ff47b864d71fb3f94b1774f3

82773afa0860d668d7fe40e3f22b0f3e

3651f252d53d2f46040652788499d65a

98ecf58d48a3eae43899b45cec0fc6b7

44887551a47ae272d7873a354d24042d

6f04a93753ae3ae043203437832363c4

c74ebb6c238bbfaefd5b32d2bf7c7fcc

a91bf61cc18705be2288a0f6f125068f

e91670423930cbbd3dbf5eac1f1a7cb6

c0598321d4ad4cf1219cc4f84bad4094

cf752e9cd2eccbda5b8e4c29ab5554b6

83ed748cd94576700268d35666bf3e01

45736deb14f3a68e88b038183c23e597

68acf11f5e456744262ff31beae58526

6efb58cf54d1bb45c057efcfbbd68a93

3bb34ebd93b8ab5799f4843e8cc829fa

4414953fa397a41156f6fa4f9462d207

e4efa759d425e2f26fbc29943a30f5bd

3b926b5762e13ceec7ac3a61e85c93bb

2b686a8b83f8e1d8b455976ae70dab6e

dfbb1b988c239ade4c23856e42d4127b

3322fba40c4de7e3de0fda1123b0bf5d

fa255fdc88ab656ad9bc383f9b322a76

590d98bb74879b52b97d8a158af912af

11b5aceb428c3e8c61ed24a8ca50553e

848837b83865f3854801be1f25cb9f4d

05b99d438dac63a5a993cea37c036673

3e61ca5057633459e96897f79970a46d

4410e95de247d7f1ab649aa640ee86fb

12c3566761495b8353f67298f15b882c

7e6bc0ed11c2532b2ae7060327457812

f59095f0ab15f26a1ead7eed8cdb4902

152fc2320790aa16ef9b6126f47c3cca

9f401176a9dd18fa2b5b90b4a2aa1356

383161e4deaf7eb2ebeda2c5e9c3204c

9529c4c9773392893a8a0ab8ce8f8ce1

9ccda4d7511009d5572ef2f8597fba4e

ece07daca53dd0a7c23dacabf50f56f1

013c7708f1343d684e3571453261b586

09bdbad8358b04994e2c04bb26a160ef

562ecbba043552d59a0f23f61cea0983

0b1e512afe24c31531d6db6b47bac8ee

4fd62068e591cbd6f413e1c2b8f75442

4022baddfda3858a57c9cbb0d49f6f86

4326a7e863928ffbb5f6bdf63bb9126e

db0eaad52465d5a2b86fdd6a6aa869a5

8c91a27bbdbe9fb0877daccd28bd7bb5

d93100fe60c342e9e3b13150fd91c7d8

01d68343ac46db6065f888a094edfe4f

a495c6d11ff3f525915345fb762f8047

e0683f8ee787313cfd2c61cd0995a830

6a9a114928554c26675884eeb40cc01b

294b1e229c3b1efce29b162e7b3be0ab

6902862bd81da402e7ac70856afbe6a2

4456e52f6f8543c3ba76cb25ea3e9bd2

b8415b4056c10c15da5bba4826a44ffd

d7cfb9fbcf19ce881180f757aeec77dd

226b1ac427eb5a4dc2a00cc72c163214

2398ed2d5b830d226af26dedaf30f64a

24a7c99da9eef1c58f09cf09b9744d7b

aeb0e1d0e71ce2a08db9b1e5fb98e0aa

2e67c62bd0307c04af469ee8dcb220f2

d5d3d23c8573d999f1c48d3e211b1066

d0a830403e56ebaa4bfbe87dbfdee44f

f3dd8aa567a01098a8a610529d892485

7c2a06ceb29cdb25f24c06f2a8892fba

41b70737fa8dda75d5e95c82699c2e9b

eeedc09570324767a3de8205f66a5295

8d949c34def898f0f32544e43117c057

b66347ef110e60b064474ae746701d4a

25a97f6dba87ef9906a62c1a305ee1dd

82e33011ac34adfcced6cddc8ea56a81

150224a0ccabce79f963795bf29ec75b

fbefb4074f1672a3c29c1a47595ea261

7f8102b789303b7861a03290c79feba0

部门PDB重要信息

D:\development\Excavator\x64\Release\Excavator-Reflector.pdb

SharPersist.pdb

Z:\vmshared\Tools\InveighZero\Inveigh\obj\Debug\Inveigh.pdb

C:\Users\Rohan\Documents\GitHub\SharpHound3\SharpHound3\obj\Release\SharpHound.pdb

C:\Users\innotec\Downloads\UsbRU\Rubeus\obj\Debug\UsbGE.pdb

C:\Users\BKuthy\Downloads\Rubeus-master\Rubeus-master\Rubeus\obj\Debug\Rubeus.pdb

C:\Users\HH\Documents\nccfsas-main\nccfsas-main\Tools\SharpZeroLogon\SharpZeroLogon\obj\Release\SharpZeroLogon.pdb

C:\Users\dream\Downloads\nccfsas-main\nccfsas-main\Tools\SharpZeroLogon\SharpZeroLogon\obj\Debug\SharpZeroLogon.pdb

F:\Projects_work\Toolset\Rubeus-master\Rubeus\obj\Debug\Rubeus.pdb

C:\GadgetToJScript-master\GadgetToJScript\obj\x86\Release\GadgetToJScript.pdb

C:\Users\ALEEM\Downloads\Compressed\SharpView-master\SharpView-master\SharpView\obj\Release\SharpView.pdb