Fire Eye 社のペネトレーションテスト用のツールである Red Team が盗まれたことを受け、
TrendMicro 社から TippingPoint 向けの FireEye社 Red Team ツール用 DV Toolkit CSW フィルターが公開されました。
DV Toolkit CSW フィルターは自動で適用されませんので、以下に記載いたします手順をご確認頂きまして、
必要に応じて、手動で適用頂きますようお願いいたします。
・手動インポート及びIPSへの配布手順
- TMCサイト(https://tmc.tippingpoint.com/TMC/)にアクセスし、ログインします
- 画面左側メニューにて[Release] - [CSW Files]を選択します
- [fireeye_red_team_rules.csw]をダウンロードします
- SMSClientにてSMSにログインします
- 画面上部メニューにて[Profiles]を選択します
- 画面左側メニューにて[DV Toolkit Packages]を選択します
- [DV Toolkit Inventory]欄内の[Import]をクリックします
- Importウィンドウにて手順03でダウンロードしたファイルを選択し、[OK]をクリックします
- インポートを行った[fireeye_red_team_rules]を選択し、[Activate]をクリックします
- [fireeye_red_team_rules]のActivate欄にチェックが入ったことを確認します
- [DV Toolkit Inventory]欄内の[fireeye_red_team_rules]を選択し、[Distribute]をクリックします
- 配布対象のTPSを選択し、[OK]をクリックし、配布します
※[High Priority]にはチェックをいれないようお願いいたします - 配布完了後、SMS Clientの[Distribution Progress]欄にて、Statusが[Complete(Success)]となっていることを確認します
また、DV Toolkit CSW フィルターはデフォルトでは無効(Disable)となっておりますので、
必要に応じて以下に記載いたしますフィルターの有効化を行って頂き、
それぞれのフィルターのActionSetを設定頂きますようお願いいたします。
※設定変更後、TPSへのProfile配布も併せてご実施ください
※必要な業務通信を遮断する可能性も考えられますので、
Permit + Nortify で検知状況を確認する様子見期間を設定して頂き、
誤検知がないようでしたら、遮断設定に切り替えて頂きますようお願いいたします。
※これらのフィルターは、Fire Eye 社によってリリースされたSnortルールに基づいています
フィルター番号:フィルター名
C1000002: Backdoor.HTTP.BEACON.[CSBundle NYTIMES Server]
C1000011: Backdoor.HTTP.BEACON.[CSBundle Original POST]
C1000012: Backdoor.HTTP.BEACON.[CSBundle NYTIMES POST]
C1000003: HackTool.TCP.Rubeus.[nonce 2]
C1000019: Backdoor.HTTP.BEACON.[CSBundle Original Stager]
C1000005: Backdoor.HTTP.BEACON.[CSBundle Original GET]
C1000013: Backdoor.HTTP.BEACON.[CSBundle USAToday Server]
C1000006: Backdoor.DNS.BEACON.[CSBundle DNS]
C1000008: M.HackTool.SMB.Impacket-Obfuscation.[Service Names]
C1000022: Backdoor.HTTP.BEACON.[Yelp Request]
C1000018: Backdoor.HTTP.BEACON.[CSBundle Original Server]
C1000001: HackTool.TCP.Rubeus.[nonce]
C1000016: Backdoor.HTTP.BEACON.[CSBundle MSOffice POST]
C1000020: Backdoor.HTTP.GORAT.[Build ID]
C1000015: HackTool.UDP.Rubeus.[nonce 2]
C1000004: Backdoor.HTTP.BEACON.[CSBundle MSOffice POST]
C1000010: Backdoor.HTTP.BEACON.[CSBundle USAToday GET]
C1000021: Backdoor.DNS.BEACON.[CSBundle DNS]
C1000017: HackTool.UDP.Rubeus.[nonce]
C1000014: Backdoor.HTTP.GORAT.[POST]
C1000007: Backdoor.HTTP.BEACON.[CSBundle Original Server 3]
C1000009: Backdoor.HTTP.BEACON.[CSBundle USAToday Server]
フィルターの有効化、ActionSetの変更、TPSへのProfile配布の手順につきましては、
弊社で準備しております運用操作資料の65ページ『4 フィルタの有効/無効』に記載がございますので、
こちらをご確認頂きますようお願いいたします。
※DV Toolkit CSW フィルターは通常の Digital Vaccine と同様の手順で
フィルターの有効化、ActionSetの変更、TPSへのProfile配布が行えます
TippingPoint 運用操作資料について
また、上記の他にもFire Eye 社より本ツールで使用していた脆弱性一覧が公開されております。
それぞれの脆弱性とその脆弱性に対応したFilterを以下に記載いたします。
※現時点で対応 Filter がリリースされていない脆弱性もございます
※FireEye 社が公開している情報に基づくため、該当のツールで発生させ得る
全ての通信の検知を保証するものではございませんので、予めご留意いただければと思います
・対応 Filter のある脆弱性
※デフォルトで Disable になっている Filter がございますので、必要に応じて有効化して頂きますようお願いいたします
CVE-2019-11510
36089: HTTP: Pulse Secure Pulse Connect Secure Directory Traversal Vulnerability
デフォルトアクション:Block / Nortify
36241: HTTP: Pulse Secure Guacamole URI Information Disclosure Vulnerability
デフォルトアクション:Disable
CVE-2020-1472
38166: MS-NRPC: Microsoft Windows Netlogon Authentication Bypass Vulnerability
デフォルトアクション:Block / Nortify
38235: MS-NRPC: Microsoft Windows NetrServerAuthenticate Request
デフォルトアクション:Disable
CVE-2018-13379
36087: HTTP: Fortinet FortiOS lang Directory Traversal Vulnerability
デフォルトアクション:Block / Nortify
CVE-2018-15961
33527: HTTP: Adobe ColdFusion Arbitrary File Upload
デフォルトアクション:Disable
33630: HTTP: Adobe ColdFusion CKEditor Unrestricted File Upload Vulnerability
デフォルトアクション:Block / Nortify
CVE-2019-0604
33692: HTTP: Microsoft SharePoint EntityInstanceIdEncoder Insecure Deserialization Vuln (ZDI-19-181)
デフォルトアクション:Disable
35498: HTTP: YSoSerial.Net Deserialization Tool Usage
デフォルトアクション:Disable
CVE-2019-0708
35285: RDP: Microsoft Remote Desktop Services Remote Code Execution Vulnerability
デフォルトアクション:Block / Nortify
35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP (ATT&CK T1076)
デフォルトアクション:Disable
CVE-2019-11580
38288: HTTP: Atlassian Crowd and Crowd Data Center Arbitrary File Upload Vulnerability
デフォルトアクション:Disable
38297: HTTP: Atlassian Crowd and Crowd Data Center Plugin File Upload Usage
デフォルトアクション:Disable
CVE-2019-19781
36876: HTTP: Citrix Application Delivery Controller (ADC) Directory Traversal Vulnerability
デフォルトアクション:Disable
36927: HTTP: Citrix Application Delivery Controller Directory Traversal Vulnerability
デフォルトアクション:Block / Nortify
CVE-2020-10189
37355: HTTP: Zoho ManageEngine Desktop Central mdmLogUploader Directory Traversal Vulnerability
デフォルトアクション:Block / Nortify
CVE-2019-3398
36860: HTTP: Atlassian Confluence Server Directory Traversal Vulnerability
デフォルトアクション:Disable
CVE-2020-0688
37202: HTTP: Microsoft Exchange Server Cryptographic Key Memory Corruption Vulnerability (ZDI-20-258)
デフォルトアクション:Disable
CVE-2016-0167
24139: HTTP: Microsoft Windows popupmenu Use-After-Free Vulnerability
デフォルトアクション:Block / Nortify
CVE-2017-11774
35713: HTTP: Microsoft Outlook Webpage Security Bypass Vulnerability
デフォルトアクション:Block / Nortify
CVE-2018-8581
33345: HTTP: Microsoft Exchange Server NTLM Reflection EWS Authentication Bypass Vulnerability(ZDI-18-1355)
デフォルトアクション:Block / Nortify
34246: HTTP: Microsoft Exchange Server NTLM Push Subscription Request
デフォルトアクション:Disable
CVE-2019-8394
38607: HTTP: Zoho ManageEngine ServiceDesk Plus Arbitrary File Upload Vulnerability
デフォルトアクション:Disable
・対応 Filter のない脆弱性
CVE-2014-1812
→現在、メーカーの担当部門でのリリース検討中となります
※グローバルでも複数件のリクエストがあったため、メーカー内にて優先度を上げて対応を行っております
本件に関するご質問につきましては、画面上部にございます「新規問い合わせ」ボタンからお問い合わせください。