Arme FireEye volée

Le 8 décembre, FireEye a annoncé qu'une attaque réussie avait permis à un groupe APT hautement qualifié d'accéder aux outils que la société utilisait comme arsenal de l'équipe rouge.



Sans le vouloir, la nouvelle fait référence à 2017, lorsque les outils de la CIA et de la NSA pour pirater l'infrastructure sont entrés dans le réseau. Ces fuites ont donné au monde une grande variété d'utilitaires: des exploits pour les routeurs domestiques et les téléviseurs intelligents au contrôle des serveurs pour les hôtes infectés. La plus grande résonance a été générée par l'exploit EternalBlue utilisé dans le ransomware WannaCry, Petya, NotPetya, qui a paralysé les activités des entreprises du monde entier.

Revenant au cas actuel, FireEye assure que les données divulguées n'incluent pas les exploits 0 jours et les outils pour exploiter des techniques auparavant inconnues. FireEye a également publié un ensemble de règles (YARA, Snort, OpenIOC, ClamAV) sur GitHub pour détecter les fuites d'outils.



Sur la base des informations fournies par FireEye, nous essaierons de déterminer quel type d'arsenal les attaquants ont reçu au cours d'une attaque réussie et s'ils ont réussi à étendre la boîte à outils avec des moyens fondamentalement nouveaux.

Alors,



git clone https://github.com/fireeye/red_team_tool_countermeasures







Ensuite, essayons de recréer les outils utilisés par l'équipe Red Team FireEye à différentes étapes du développement de l'attaque. Nous considérerons les techniques selon le classifieur MITRE ATT & CK

Pré-préparation de charge malveillante (développement de ressources)

• Matryoshka – . , .
• LNKSmasher – LNK- . LNK-.
• GadgetToJScript – , .NET- VBS, VBA, JS, HTA.
• Redflare – FireEye RedTeam.
• RESUMEPLEASE – Microsoft Office c VBA (Visual Basic for Application) .
• SinfulOffice est un utilitaire pour créer des documents Microsoft Office malveillants avec des objets OLE incorporés
• WildChild - utilitaire de création de fichiers HTA malveillants (application HTML)
• PrepShellCode - utilitaire de préparation du shellcode

Accès initial à l'infrastructure

Exploits utilisés dans les mailings malveillants qui nécessitent une action de l'utilisateur:

• Expl-CVE-2017-11774 - Exploit pour vulnérabilité dans Microsoft Outlook

Exploits pour les vulnérabilités dans les services de réseau public:

• Expl-CVE-2019-0708 est un exploit pour une vulnérabilité dans Microsoft Remote Desktop Services (RDS), également connu sous le nom de BlueKeep.
• Expl-CVE-2019-19781 – Citrix Application Delivery Controller (ADC) Citrix Gateway
• Expl-CVE-2019-8394 – Zoho ManageEngine ServiceDesk Plus (SDP)

(Execution)

• Cobalt Strike – . .
• DShell – Windows-, D
• DTRIM – SharpSploit – . windows-, .Net-, PowerShell, .
• DueDLLigence – FireEye DLL .
• Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI)
• In-MemoryCompilation –
• TrimBishop – RuralBishop, . suspended .
• C_Sharp_SectionInjection – PE-

(Persistence)

• Cobalt Strike – , StayKit (, , LNK, , WMI)
• Mofcomp — MOF (Managed Object Format) WMI. .
• SharPersist – FireEye Windows-. : KeePass, , , , SVN hook, ,
• SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
• SharpSchtask –
• Justtask –
• Keepersist –

(Privilege Escalation)

• Cobalt Strike – . ElevateKit, (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
• Sharpzerologon – Netlogon (CVE-2020-1472), Zerologon. . Cobalt Strike
• Expl-CVE-2014-1812 – Group Policy Windows
• Expl-CVE-2016-0167 – Windows kernel-mode driver
• Expl-CVE-2020-1472 – Netlogon
• Expl-CVE-2018-8581 – Microsoft Exchange

(Defense Evasion)

• Cobalt Strike – , .
• DTRIM – SharpSploit – . AMSI ETWEventWrite ETW
• Matryoshka – . , . Process Hollowing
• NoAmci – AMSI.dll c AMSI (Antimalware Scan Interface) Assembly.Load(). .NET- .
• PGF – . . Application Whitelistening DLL
• SharpStomp – : , ,
• NET-Assembly-Inject – .Net
• NetshShellCodeRunner – NetSh.exe DLL

(Credential Access)

• Cobalt Strike – . .
• Adpasshunt — Group Policy Preferences msSFU30Password UserPassword Active Directory
• DTRIM – SharpSploit – . Kerberos
• Excavator – .
• Rubeus — Kerberos, Kerberoasting
• Fluffy – Rubeus.
• Impacket-Obfuscation — Impacket Windows-. (SAM, LSA, NTDS.dit), Kerberos ( Kerberos-, Golden Ticket), MiTM- NTLM.
• InveighZero – MiTM- LLMNR, NBNS, mDNS, DNS, DHCPv6
• KeeFarce – KeePass 2.x. DLL KeePass
• PXELoot (PAL) – WDS (Windows Deployment Services)
• SafetyKatz – LSASS. Mimikatz PE C#
• TitoSpecial – AndrewSpecial LSASS. EDR
• CredSnatcher –
• WCMDump – Windows Credential Manager
• Expl-CVE-2018-13379 – FortiOS SSL VPN,
• Expl-CVE-2019-11510 – Pulse Secure SSL VPN,

(Discovery)

• Cobalt Strike – . .
• Seatbelt – Windows
• CoreHound — .Net , fork SharpHound Active Directory .
• PuppyHound – SharpHound Active Directory
• DTRIM – SharpSploit – . .
• EWSRT – RT-EWS Exchange, Office 365
• Getdomainpasswordpolicy – Active Directory
• gpohunt – Active Directory
• SharpUtils – , C# execute assembly Cobalt Strike
• WMISharp – WMI
• WMIspy – WMI
• modifiedsharpview — SharpView, Active Directory

(Lateral Movement)

• Cobalt Strike – . (PsExec, WinRM, Windows Admin Shares)
• DTRIM – SharpSploit – . WMI, DCOM, , PowerShell Remoting.
• Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI) Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
• WMIRunner – WMI
• SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
• Expl-CVE-2018-15961 – Adobe ColdFusion
• Expl-CVE-2019-0604 – Microsoft Sharepoint
• Expl-CVE-2019-0708 – Microsoft Remote Desktop Services (RDS), BlueKeep
• Expl-CVE-2019-11580 – Atlassian Crowd
• Expl-CVE-2019-3398 – Atlassian Confluence Server
• Expl-CVE-2020-0688 – Microsoft Exchange
• Expl-CVE-2020-10189 – ZoHo ManageEngine Desktop Central

(Command and Control)

• Cobalt Strike – . Team Server .
• DShell – Windows-, D
• Redflare – FireEye RedTeam.
• GoRAT – (Windows, MacOS), Redflare. Go
• DoHC2 – Cobalt Strike DNS over HTTPS (DoH)
• prat – remote access trojan

• SharpGrep –
• sharpdacl – ACL
• sharpdns – DNS
• sharpgopher – Gopher
• sharpnativezipper –
• sharpnfs – NFS
• sharppatchcheck - utilitaire de vérification des mises à jour installées
• sharpsqlclient - client SQL
• sharpwebcrawler - Crawler de pages Web
• sharpziplibzipper - utilitaire de compression utilisant libzip

Utilitaires à but inconnu

D'après les informations fournies, l'objectif de ces utilitaires n'a pas pu être compris.

• Toutes les choses
• SharpGenerator
• Lualoader
• MSBuildMe
• Revolver
• Sharpsack
• Sharpy
• red_team_materials
• modèle pointu

Résultats de l'analyse

• La plupart des outils sont conçus pour mener des attaques sur l'infrastructure Microsoft Windows
• Pour développer l'attaque, le framework commercial Cobalt Strike est utilisé, ainsi que des versions modifiées de projets open source bien connus (SharpView, SharpSploit, Impacket, SharpHound, SafetyKatz)
• open source
• , C#
• FireEye .
• ,

, :

• Linux Unix-
• Web-

Une attaque réussie contre le géant du marché de la sécurité de l'information sera sans aucun doute incluse dans la liste des événements importants de notre industrie, mais il faut également comprendre que les outils de la Red Team n'étaient certainement pas la cible des attaquants. FireEye a travaillé pour de grandes entreprises du monde entier et était également un contractant pour des agences gouvernementales américaines telles que le ministère de la Défense, de la Santé et des Services sociaux, le Trésor, la sécurité intérieure, etc. utilitaires.



Comme l'analyse l'a montré, même la publication des services publics dans le domaine public n'affectera pas de manière significative l'image des risques pour les organisations. la majeure partie de l'arsenal est déjà disponible pour les attaquants sous la forme de projets open source.





Sergey Rublev. Directeur du développement Pangeo Radar, CISSP