12月8日、FireEyeは、攻撃が成功した結果、高度なスキルを持つAPTグループが、同社がRedTeamの武器として使用したツールにアクセスできるようになったと報告しました。
無意識のうちに、ニュースは、インフラストラクチャをハッキングするためのCIAおよびNSAツールがネットワークに侵入した2017年に言及しています。これらのリークは、ホームルーターやスマートTVの悪用から、感染したホストのサーバーの制御まで、さまざまなユーティリティを世界にもたらしました。最大の共鳴は、世界中の企業の活動を麻痺させたランサムウェアWannaCry、Petya、NotPetyaで使用されたEternalBlueエクスプロイトによって生成されました。
現在のケースに戻ると、FireEyeは、リークされたデータでこれまで知られていなかった手法を悪用するための0日間の悪用やツールがないことを保証します。FireEyeは、リークされたツールを検出するための一連のルール(YARA、Snort、OpenIOC、ClamAV)もGitHubで公開しました。
FireEyeから提供された情報に基づいて、攻撃が成功したときに攻撃者が受け取った武器の種類と、根本的に新しい手段でツールキットを拡張できたかどうかを調べてみましょう。
そう、
git clone https://github.com/fireeye/red_team_tool_countermeasures
次に、攻撃の開発のさまざまな段階でRed TeamFireEyeチームが使用するツールを再現してみましょう。MITER ATT&CK分類器に従ってテクニックを検討します
悪意のある負荷の事前準備(リソース開発)
- Matryoshka – . , .
- LNKSmasher – LNK- . LNK-.
- GadgetToJScript – , .NET- VBS, VBA, JS, HTA.
- Redflare – FireEye RedTeam.
- RESUMEPLEASE – Microsoft Office c VBA (Visual Basic for Application) .
- SinfulOfficeは、OLEオブジェクトが埋め込まれた悪意のあるMicrosoftOfficeドキュメントを作成するためのユーティリティです。
- WildChild-悪意のあるHTAファイルを作成するためのユーティリティ(HTMLアプリケーション)
- PrepShellCode-シェルコードを準備するためのユーティリティ
インフラストラクチャへの初期アクセス
ユーザーの操作を必要とする悪意のあるメールで使用される悪用:
- Expl-CVE-2017-11774 -MicrosoftOutlookの脆弱性の悪用
パブリックネットワークサービスの脆弱性の悪用:
- Expl-CVE-2019-0708は、BlueKeepとも呼ばれるMicrosoft Remote Desktop Services(RDS)の脆弱性の悪用です。
- Expl-CVE-2019-19781 – Citrix Application Delivery Controller (ADC) Citrix Gateway
- Expl-CVE-2019-8394 – Zoho ManageEngine ServiceDesk Plus (SDP)
(Execution)
- Cobalt Strike – . .
- DShell – Windows-, D
- DTRIM – SharpSploit – . windows-, .Net-, PowerShell, .
- DueDLLigence – FireEye DLL .
- Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI)
- In-MemoryCompilation –
- TrimBishop – RuralBishop, . suspended .
- C_Sharp_SectionInjection – PE-
(Persistence)
- Cobalt Strike – , StayKit (, , LNK, , WMI)
- Mofcomp — MOF (Managed Object Format) WMI. .
- SharPersist – FireEye Windows-. : KeePass, , , , SVN hook, ,
- SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
- SharpSchtask –
- Justtask –
- Keepersist –
(Privilege Escalation)
- Cobalt Strike – . ElevateKit, (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
- Sharpzerologon – Netlogon (CVE-2020-1472), Zerologon. . Cobalt Strike
- Expl-CVE-2014-1812 – Group Policy Windows
- Expl-CVE-2016-0167 – Windows kernel-mode driver
- Expl-CVE-2020-1472 – Netlogon
- Expl-CVE-2018-8581 – Microsoft Exchange
(Defense Evasion)
- Cobalt Strike – , .
- DTRIM – SharpSploit – . AMSI ETWEventWrite ETW
- Matryoshka – . , . Process Hollowing
- NoAmci – AMSI.dll c AMSI (Antimalware Scan Interface) Assembly.Load(). .NET- .
- PGF – . . Application Whitelistening DLL
- SharpStomp – : , ,
- NET-Assembly-Inject – .Net
- NetshShellCodeRunner – NetSh.exe DLL
(Credential Access)
- Cobalt Strike – . .
- Adpasshunt — Group Policy Preferences msSFU30Password UserPassword Active Directory
- DTRIM – SharpSploit – . Kerberos
- Excavator – .
- Rubeus — Kerberos, Kerberoasting
- Fluffy – Rubeus.
- Impacket-Obfuscation — Impacket Windows-. (SAM, LSA, NTDS.dit), Kerberos ( Kerberos-, Golden Ticket), MiTM- NTLM.
- InveighZero – MiTM- LLMNR, NBNS, mDNS, DNS, DHCPv6
- KeeFarce – KeePass 2.x. DLL KeePass
- PXELoot (PAL) – WDS (Windows Deployment Services)
- SafetyKatz – LSASS. Mimikatz PE C#
- TitoSpecial – AndrewSpecial LSASS. EDR
- CredSnatcher –
- WCMDump – Windows Credential Manager
- Expl-CVE-2018-13379 – FortiOS SSL VPN,
- Expl-CVE-2019-11510 – Pulse Secure SSL VPN,
(Discovery)
- Cobalt Strike – . .
- Seatbelt – Windows
- CoreHound — .Net , fork SharpHound Active Directory .
- PuppyHound – SharpHound Active Directory
- DTRIM – SharpSploit – . .
- EWSRT – RT-EWS Exchange, Office 365
- Getdomainpasswordpolicy – Active Directory
- gpohunt – Active Directory
- SharpUtils – , C# execute assembly Cobalt Strike
- WMISharp – WMI
- WMIspy – WMI
- modifiedsharpview — SharpView, Active Directory
(Lateral Movement)
- Cobalt Strike – . (PsExec, WinRM, Windows Admin Shares)
- DTRIM – SharpSploit – . WMI, DCOM, , PowerShell Remoting.
- Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI) Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
- WMIRunner – WMI
- SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
- Expl-CVE-2018-15961 – Adobe ColdFusion
- Expl-CVE-2019-0604 – Microsoft Sharepoint
- Expl-CVE-2019-0708 – Microsoft Remote Desktop Services (RDS), BlueKeep
- Expl-CVE-2019-11580 – Atlassian Crowd
- Expl-CVE-2019-3398 – Atlassian Confluence Server
- Expl-CVE-2020-0688 – Microsoft Exchange
- Expl-CVE-2020-10189 – ZoHo ManageEngine Desktop Central
(Command and Control)
- Cobalt Strike – . Team Server .
- DShell – Windows-, D
- Redflare – FireEye RedTeam.
- GoRAT – (Windows, MacOS), Redflare. Go
- DoHC2 – Cobalt Strike DNS over HTTPS (DoH)
- prat – remote access trojan
- SharpGrep –
- sharpdacl – ACL
- sharpdns – DNS
- sharpgopher – Gopher
- sharpnativezipper –
- sharpnfs – NFS
- Sharppatchcheck-インストールされたアップデートをチェックするためのユーティリティ
- Sharpsqlclient -SQLクライアント
- Sharpwebcrawler -Webページのクローラー
- Sharpziplibzipper -libzipを使用した圧縮ユーティリティ
目的不明のユーティリティ
提供された情報によると、これらのユーティリティの目的は理解できませんでした。
- すべて
- SharpGenerator
- ルアローダー
- MSBuildMe
- リボルバー
- シャープサック
- シャーピー
- red_team_materials
- シャープテンプレート
分析結果
- ほとんどのツールは、MicrosoftWindowsインフラストラクチャに対する攻撃を実行するように設計されています。
- 攻撃を開発するために、商用フレームワークのCobalt Strikeと、よく知られているオープンソースプロジェクトの修正バージョン(SharpView、SharpSploit、Impacket、SharpHound、SafetyKatz)が使用されます。
- open source
- , C#
- FireEye .
- ,
, :
- Linux Unix-
- Web-
情報セキュリティ市場の巨人に対する攻撃の成功は、間違いなく私たちの業界の重要なイベントのリストに含まれますが、RedTeamのツールキットは間違いなく攻撃者の標的ではなかったことを理解する必要があります。FireEyeは世界中の大企業で働いており、国防省、保健福祉省、財務省、国土安全保障局などの米国政府機関の請負業者でもありました。これらの組織のデータは、悪用の選択よりもプロ政府ハッカーにとってよりおいしい一口です。ユーティリティ。
分析が示しているように、パブリックドメインでのユーティリティの公開でさえ、組織のリスク状況に大きな影響を与えることはありません。武器のほとんどは、オープンソースプロジェクトの形で攻撃者がすでに利用できます。
MITER ATT&CKテクニックによるユーティリティの解析
Execution
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Command and Control
- T1059.001 Command and Scripting Interpreter: PowerShell (Cobalt Strike)
- T1059.003 Command and Scripting Interpreter: Windows Command Shell (Cobalt Strike, DShell)
- T1059.005 Command and Scripting Interpreter: Visual Basic (Cobalt Strike)
- T1059.006 Command and Scripting Interpreter: Python (Cobalt Strike)
- T1059.007 Command and Scripting Interpreter: JavaScript/JScript (GadgetToJscript)
- T1106 Native API (Cobalt Strike, DTRIM)
- T1129 Shared Modules (DueDDLigence)
- T1203 Exploitation for Client Execution (Expl-CVE-2017-11774, Expl-CVE-2019-0708, Expl-CVE-2019-19781, Expl-CVE-2019-8394)
- T1569.002 System Services: Service Execution (Cobalt Strike, Impacket-Obfuscation)
Persistence
- T1053.005 Scheduled Task/Job: Scheduled Task (SharPersist)
- T1543.003 Create or Modify System Process: Windows Service (Cobalt Strike, SharPersist)
- T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription (Mofcomp)
Privilege Escalation
- T1068 Exploitation for Privilege Escalation (Cobalt Strike, Sharpzerologon, Expl- CVE-2014-1812, Expl-CVE-2016-0167, Expl-CVE-2020-1472, Expl-CVE-2018-8581)
- T1134.001 Access Token Manipulation: Token Impersonation/Theft (Cobalt Strike)
- T1134.003 Access Token Manipulation: Make and Impersonate Token (Cobalt Strike)
- T1134.004 Access Token Manipulation: Parent PID Spoofing (Cobalt Strike)
Defense Evasion
- T1027.005 Obfuscated Files or Information: Indicator Removal from Tools (Cobalt Strike)
- T1055 Process Injection (Cobalt Strike, NET-Assembly-Inject)
- T1055.012 Process Injection: Process Hollowing (Cobalt Strike, Matryoshka)
- T1070.006 Indicator Removal on Host: Timestomp (Cobalt Strike, SharpStomp)
- T1197 BITS Jobs (Cobalt Strike)
- T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control (Cobalt Strike) T1562.001 Impair Defenses: Disable or Modify Tools (DTRIM, NoAmci)
- T1562.002 Impair Defenses: Disable Windows Event Logging (DTRIM)
- T1572 Protocol Tunneling (Cobalt Strike)
Credential Access
- T1003 OS Credential Dumping: Security Account Manager (Cobalt Strike, DTRIM, Excavator, Impacket-Obfuscation, SafetyKatz, TitoSpecial)
- T1110 Brute Force (Rubeus, Fluffy)
- T1056.001 Input Capture: Keylogging (Cobalt Strike)
- T1552.006 Unsecured Credentials: Group Policy Preferences (Adpasshunt)
- T1555 Credentials from Password Stores (Expl-CVE-2018-13379, Expl-CVE-2019-11510)
- T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Impacket-Obfuscation, InveighZero)
- T1558 Steal or Forge Kerberos Tickets (DTRIM, Rubeus, Fluffy, Impacket-Obfuscation)
- T1040 Network Sniffing (Impacket-Obfuscation)
- T1555.001 Process Injection: Dynamic-link Library Injection (KeeFarce)
Discovery
- T1007 System Service Discovery (Seatbelt)
- T1012 Query Registry (Seatbelt)
- T1016 System Network Configuration Discovery (Cobalt Strike, Seatbelt)
- T1018 Remote System Discovery (Cobalt Strike)
- T1033 System Owner/User Discovery (Seatbelt)
- T1046 Network Service Scanning (Cobalt Strike, DTRIM)
- T1049 System Network Connections Discovery (Seatbelt)
- T1057 Process Discovery (Cobalt Strike, DTRIM)
- T1069.001 Permission Groups Discovery: Local Groups (Seatbelt, DTRIM)
- T1069.002 Permission Groups Discovery: Domain Groups (CoreHound, DTRIM, PuppyHound, modifiedsharpview)
- T1082 System Information Discovery (Seatbelt)
- T1087.001 Account Discovery: Local Account (Seatbelt, DTRIM)
- T1087.002 Account Discovery: Domain Account (Cobalt Strike, CoreHound, DTRIM, PuppyHound)
- T1087.002 Account Discovery: Email Account (EWSRT)
- T1087.004 Account Discovery: Cloud Account (Seatbelt, EWSRT)
- T1124 System Time Discovery (Seatbelt)
- T1135 Network Share Discovery (Cobalt Strike, Seatbelt, DTRIM)
- T1201 Password Policy Discovery (Seatbelt, Getdomainpasswordpolicy)
- T1217 Browser Bookmark Discovery (Seatbelt)
- T1518 Software Discovery (Seatbelt)
- T1482 Domain Trust Discovery (CoreHound, PuppyHound)
Lateral Movement
- T1021.001 Remote Services: Remote Desktop Protocol (Cobalt Strike)
- T1021.002 Remote Services: SMB/Windows Admin Shares (Cobalt Strike)
- T1021.003 Remote Services: Distributed Component Object Model (Cobalt Strike, DTRIM)
- T1021.004 Remote Services: SSH (Cobalt Strike)
- T1021.006 Remote Services: Windows Remote Management (Cobalt Strike, DTRIM, Impacket-Obfuscation, WMIRunner)
- T1047 Windows Management Instrumentation (Cobalt Strike, DTRIM)
- T1210 Exploitation of Remote Services (Impacket-Obfuscation, Expl-CVE-2018-15961, Expl-CVE-2019-0604, Expl-CVE-2019-0708, Expl-CVE-2019-11580, Expl-CVE-2019-3398, Expl-CVE-2020-0688, Expl-CVE-2020-10189)
- T1550.002 Use Alternate Authentication Material: Pass the Hash (Cobalt Strike)
Command and Control
- T1071.001 Application Layer Protocol: Web Protocols (Cobalt Strike)
- T1071.004 Application Layer Protocol: DNS (Cobalt Strike)
- T1090.001 Proxy: Internal Proxy (Cobalt Strike)
セルゲイ・ルブレフ。CISSP開発ディレクターPangeoRadar