FireEye是一家全球知名的网络安全公司，成立于2004年，总部位于加利福尼亚州的米尔皮塔斯。它在103个国家/地区拥有超过8,500多家客户，全球员工超过3200多名。

作为一家公开上市的美国网络安全公司，FireEye提供用于应对高级网络威胁的自动威胁取证及动态恶意软件防护服务，如高级持续性威胁（APT）和鱼叉式网络钓鱼。

FireEye尚未分享有关被盗的红队工具的详细信息。据悉，这些被盗取的红队工具主要分为以下四类：

1、基于开源项目二次开发后的工具；

2、基于windows二进制文件的工具；

3、专门为FireEye红队开发的实战工具；

4、数据处理工具。

具体来看，这些工具包括了用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等框架，规模不一。

为了帮助其他组织机构降低受到这些被公开的红队工具的攻击风险，FireEye还将检测工具分享到了GithHub社区，链接如下： 

https://github.com/fireeye/red_team_tool_countermeasures

通过对该项目进行分析，可发现这些红队工具可覆盖ATT&CK攻防矩阵中的执行、持久化、提权、防御规避、凭证访问、发现、横向移动、命令与控制、渗出等阶段，如图所示。

该项目涵盖的311条检测规则包括OpenIOC、Yara、Snort以及 ClamAV这四类，分布如下图所示：

而对于大家比较关心的0day问题，正如FireEye所介绍的，这些红队工具主要用于为FireEye的客户提供基本的渗透测试服务，并没有包含0day漏洞。通过检测规则来看，确实是如此。

近些年来，网络军火泄露事件时有发生，近几年来也发生了许多典型事件：

2015年7月的Hacking Team攻击工具源代码泄露

2016年8月的影子经纪人泄露方程式组织的攻击工具

2017年4月的影子经纪人泄露NSA“永恒之蓝”等系列0day漏洞攻击工具

2019年3月的 APT34的黑客工具泄露

2020年10月的红队工具被逆向重新编译的源代码公开泄露

……

之前笔者曾在读到一句印象深刻的话：“一流国家当棋手，二流国家当棋子，三流国家当棋盘”。作为防守方，如果能作为棋手，站在攻击者的角度思考，掌握攻击者的攻击思路、使用的攻击手段，便能在与攻击者的博弈过程中占得先机。

在近年兴起的红蓝对抗演练中，安全狗通过综合性方案也服务了众多的用户，并积累了一些经验。在最后，希望通过笔者抛砖引玉的总结，能为读者提供一些思路应对未来或有可能发生的类似安全事件：

1、把控暴露的攻击面，提升综合运营监测能力

2、提升纵深防护与检测能力，铸就安全最后一道围墙

3、内部攻防演练，提升应急响应与溯源分析能力

参考链接

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

https://www.picussecurity.com/resource/blog/techniques-tactics-procedures-utilized-by-fireeye-red-team-tools