Le 8 décembre, FireEye a annoncé qu'une attaque réussie avait permis à un groupe APT hautement qualifié d'accéder aux outils que la société utilisait comme arsenal de l'équipe rouge.
Sans le vouloir, la nouvelle fait référence à 2017, lorsque les outils de la CIA et de la NSA pour pirater l'infrastructure sont entrés dans le réseau. Ces fuites ont donné au monde une grande variété d'utilitaires: des exploits pour les routeurs domestiques et les téléviseurs intelligents au contrôle des serveurs pour les hôtes infectés. La plus grande résonance a été générée par l'exploit EternalBlue utilisé dans le ransomware WannaCry, Petya, NotPetya, qui a paralysé les activités des entreprises du monde entier.
Revenant au cas actuel, FireEye assure que les données divulguées n'incluent pas les exploits 0 jours et les outils pour exploiter des techniques auparavant inconnues. FireEye a également publié un ensemble de règles (YARA, Snort, OpenIOC, ClamAV) sur GitHub pour détecter les fuites d'outils.
Sur la base des informations fournies par FireEye, nous essaierons de déterminer quel type d'arsenal les attaquants ont reçu au cours d'une attaque réussie et s'ils ont réussi à étendre la boîte à outils avec des moyens fondamentalement nouveaux.
Alors,
git clone https://github.com/fireeye/red_team_tool_countermeasures
Ensuite, essayons de recréer les outils utilisés par l'équipe Red Team FireEye à différentes étapes du développement de l'attaque. Nous considérerons les techniques selon le classifieur MITRE ATT & CK
Pré-préparation de charge malveillante (développement de ressources)
- Matryoshka – . , .
- LNKSmasher – LNK- . LNK-.
- GadgetToJScript – , .NET- VBS, VBA, JS, HTA.
- Redflare – FireEye RedTeam.
- RESUMEPLEASE – Microsoft Office c VBA (Visual Basic for Application) .
- SinfulOffice est un utilitaire pour créer des documents Microsoft Office malveillants avec des objets OLE incorporés
- WildChild - utilitaire de création de fichiers HTA malveillants (application HTML)
- PrepShellCode - utilitaire de préparation du shellcode
Accès initial à l'infrastructure
Exploits utilisés dans les mailings malveillants qui nécessitent une action de l'utilisateur:
- Expl-CVE-2017-11774 - Exploit pour vulnérabilité dans Microsoft Outlook
Exploits pour les vulnérabilités dans les services de réseau public:
- Expl-CVE-2019-0708 est un exploit pour une vulnérabilité dans Microsoft Remote Desktop Services (RDS), également connu sous le nom de BlueKeep.
- Expl-CVE-2019-19781 – Citrix Application Delivery Controller (ADC) Citrix Gateway
- Expl-CVE-2019-8394 – Zoho ManageEngine ServiceDesk Plus (SDP)
(Execution)
- Cobalt Strike – . .
- DShell – Windows-, D
- DTRIM – SharpSploit – . windows-, .Net-, PowerShell, .
- DueDLLigence – FireEye DLL .
- Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI)
- In-MemoryCompilation –
- TrimBishop – RuralBishop, . suspended .
- C_Sharp_SectionInjection – PE-
(Persistence)
- Cobalt Strike – , StayKit (, , LNK, , WMI)
- Mofcomp — MOF (Managed Object Format) WMI. .
- SharPersist – FireEye Windows-. : KeePass, , , , SVN hook, ,
- SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
- SharpSchtask –
- Justtask –
- Keepersist –
(Privilege Escalation)
- Cobalt Strike – . ElevateKit, (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
- Sharpzerologon – Netlogon (CVE-2020-1472), Zerologon. . Cobalt Strike
- Expl-CVE-2014-1812 – Group Policy Windows
- Expl-CVE-2016-0167 – Windows kernel-mode driver
- Expl-CVE-2020-1472 – Netlogon
- Expl-CVE-2018-8581 – Microsoft Exchange
(Defense Evasion)
- Cobalt Strike – , .
- DTRIM – SharpSploit – . AMSI ETWEventWrite ETW
- Matryoshka – . , . Process Hollowing
- NoAmci – AMSI.dll c AMSI (Antimalware Scan Interface) Assembly.Load(). .NET- .
- PGF – . . Application Whitelistening DLL
- SharpStomp – : , ,
- NET-Assembly-Inject – .Net
- NetshShellCodeRunner – NetSh.exe DLL
(Credential Access)
- Cobalt Strike – . .
- Adpasshunt — Group Policy Preferences msSFU30Password UserPassword Active Directory
- DTRIM – SharpSploit – . Kerberos
- Excavator – .
- Rubeus — Kerberos, Kerberoasting
- Fluffy – Rubeus.
- Impacket-Obfuscation — Impacket Windows-. (SAM, LSA, NTDS.dit), Kerberos ( Kerberos-, Golden Ticket), MiTM- NTLM.
- InveighZero – MiTM- LLMNR, NBNS, mDNS, DNS, DHCPv6
- KeeFarce – KeePass 2.x. DLL KeePass
- PXELoot (PAL) – WDS (Windows Deployment Services)
- SafetyKatz – LSASS. Mimikatz PE C#
- TitoSpecial – AndrewSpecial LSASS. EDR
- CredSnatcher –
- WCMDump – Windows Credential Manager
- Expl-CVE-2018-13379 – FortiOS SSL VPN,
- Expl-CVE-2019-11510 – Pulse Secure SSL VPN,
(Discovery)
- Cobalt Strike – . .
- Seatbelt – Windows
- CoreHound — .Net , fork SharpHound Active Directory .
- PuppyHound – SharpHound Active Directory
- DTRIM – SharpSploit – . .
- EWSRT – RT-EWS Exchange, Office 365
- Getdomainpasswordpolicy – Active Directory
- gpohunt – Active Directory
- SharpUtils – , C# execute assembly Cobalt Strike
- WMISharp – WMI
- WMIspy – WMI
- modifiedsharpview — SharpView, Active Directory
(Lateral Movement)
- Cobalt Strike – . (PsExec, WinRM, Windows Admin Shares)
- DTRIM – SharpSploit – . WMI, DCOM, , PowerShell Remoting.
- Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI) Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
- WMIRunner – WMI
- SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
- Expl-CVE-2018-15961 – Adobe ColdFusion
- Expl-CVE-2019-0604 – Microsoft Sharepoint
- Expl-CVE-2019-0708 – Microsoft Remote Desktop Services (RDS), BlueKeep
- Expl-CVE-2019-11580 – Atlassian Crowd
- Expl-CVE-2019-3398 – Atlassian Confluence Server
- Expl-CVE-2020-0688 – Microsoft Exchange
- Expl-CVE-2020-10189 – ZoHo ManageEngine Desktop Central
(Command and Control)
- Cobalt Strike – . Team Server .
- DShell – Windows-, D
- Redflare – FireEye RedTeam.
- GoRAT – (Windows, MacOS), Redflare. Go
- DoHC2 – Cobalt Strike DNS over HTTPS (DoH)
- prat – remote access trojan
- SharpGrep –
- sharpdacl – ACL
- sharpdns – DNS
- sharpgopher – Gopher
- sharpnativezipper –
- sharpnfs – NFS
- sharppatchcheck - utilitaire de vérification des mises à jour installées
- sharpsqlclient - client SQL
- sharpwebcrawler - Crawler de pages Web
- sharpziplibzipper - utilitaire de compression utilisant libzip
Utilitaires Ă but inconnu
D'après les informations fournies, l'objectif de ces utilitaires n'a pas pu être compris.
- Toutes les choses
- SharpGenerator
- Lualoader
- MSBuildMe
- Revolver
- Sharpsack
- Sharpy
- red_team_materials
- modèle pointu
RĂ©sultats de l'analyse
- La plupart des outils sont conçus pour mener des attaques sur l'infrastructure Microsoft Windows
- Pour développer l'attaque, le framework commercial Cobalt Strike est utilisé, ainsi que des versions modifiées de projets open source bien connus (SharpView, SharpSploit, Impacket, SharpHound, SafetyKatz)
- open source
- , C#
- FireEye .
- ,
, :
- Linux Unix-
- Web-
Une attaque réussie contre le géant du marché de la sécurité de l'information sera sans aucun doute incluse dans la liste des événements importants de notre industrie, mais il faut également comprendre que les outils de la Red Team n'étaient certainement pas la cible des attaquants. FireEye a travaillé pour de grandes entreprises du monde entier et était également un contractant pour des agences gouvernementales américaines telles que le ministère de la Défense, de la Santé et des Services sociaux, le Trésor, la sécurité intérieure, etc. utilitaires.
Comme l'analyse l'a montré, même la publication des services publics dans le domaine public n'affectera pas de manière significative l'image des risques pour les organisations. la majeure partie de l'arsenal est déjà disponible pour les attaquants sous la forme de projets open source.
Utilitaires d'analyse par les techniques MITRE ATT & CK
Exécution
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Command and Control
- Interpréteur de commandes et de scripts T1059.001: PowerShell (Cobalt Strike)
- Interpréteur de commandes et de scripts T1059.003: Windows Command Shell (Cobalt Strike, DShell)
- T1059.005 Command and Scripting Interpreter: Visual Basic (Cobalt Strike)
- T1059.006 Command and Scripting Interpreter: Python (Cobalt Strike)
- T1059.007 Command and Scripting Interpreter: JavaScript/JScript (GadgetToJscript)
- T1106 Native API (Cobalt Strike, DTRIM)
- T1129 Shared Modules (DueDDLigence)
- T1203 Exploitation for Client Execution (Expl-CVE-2017-11774, Expl-CVE-2019-0708, Expl-CVE-2019-19781, Expl-CVE-2019-8394)
- T1569.002 System Services: Service Execution (Cobalt Strike, Impacket-Obfuscation)
Persistence
- T1053.005 Scheduled Task/Job: Scheduled Task (SharPersist)
- T1543.003 Create or Modify System Process: Windows Service (Cobalt Strike, SharPersist)
- T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription (Mofcomp)
Privilege Escalation
- T1068 Exploitation for Privilege Escalation (Cobalt Strike, Sharpzerologon, Expl- CVE-2014-1812, Expl-CVE-2016-0167, Expl-CVE-2020-1472, Expl-CVE-2018-8581)
- T1134.001 Access Token Manipulation: Token Impersonation/Theft (Cobalt Strike)
- T1134.003 Access Token Manipulation: Make and Impersonate Token (Cobalt Strike)
- T1134.004 Access Token Manipulation: Parent PID Spoofing (Cobalt Strike)
Defense Evasion
- T1027.005 Obfuscated Files or Information: Indicator Removal from Tools (Cobalt Strike)
- T1055 Process Injection (Cobalt Strike, NET-Assembly-Inject)
- T1055.012 Process Injection: Process Hollowing (Cobalt Strike, Matryoshka)
- T1070.006 Indicator Removal on Host: Timestomp (Cobalt Strike, SharpStomp)
- T1197 BITS Jobs (Cobalt Strike)
- T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control (Cobalt Strike) T1562.001 Impair Defenses: Disable or Modify Tools (DTRIM, NoAmci)
- T1562.002 Impair Defenses: Disable Windows Event Logging (DTRIM)
- T1572 Protocol Tunneling (Cobalt Strike)
Credential Access
- T1003 OS Credential Dumping: Security Account Manager (Cobalt Strike, DTRIM, Excavator, Impacket-Obfuscation, SafetyKatz, TitoSpecial)
- T1110 Brute Force (Rubeus, Fluffy)
- T1056.001 Input Capture: Keylogging (Cobalt Strike)
- T1552.006 Unsecured Credentials: Group Policy Preferences (Adpasshunt)
- T1555 Credentials from Password Stores (Expl-CVE-2018-13379, Expl-CVE-2019-11510)
- T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Impacket-Obfuscation, InveighZero)
- T1558 Steal or Forge Kerberos Tickets (DTRIM, Rubeus, Fluffy, Impacket-Obfuscation)
- T1040 Network Sniffing (Impacket-Obfuscation)
- T1555.001 Process Injection: Dynamic-link Library Injection (KeeFarce)
Discovery
- T1007 System Service Discovery (Seatbelt)
- T1012 Query Registry (Seatbelt)
- T1016 System Network Configuration Discovery (Cobalt Strike, Seatbelt)
- T1018 Remote System Discovery (Cobalt Strike)
- T1033 System Owner/User Discovery (Seatbelt)
- T1046 Network Service Scanning (Cobalt Strike, DTRIM)
- T1049 System Network Connections Discovery (Seatbelt)
- T1057 Process Discovery (Cobalt Strike, DTRIM)
- T1069.001 Permission Groups Discovery: Local Groups (Seatbelt, DTRIM)
- T1069.002 Permission Groups Discovery: Domain Groups (CoreHound, DTRIM, PuppyHound, modifiedsharpview)
- T1082 System Information Discovery (Seatbelt)
- T1087.001 Account Discovery: Local Account (Seatbelt, DTRIM)
- T1087.002 Account Discovery: Domain Account (Cobalt Strike, CoreHound, DTRIM, PuppyHound)
- T1087.002 Account Discovery: Email Account (EWSRT)
- T1087.004 Account Discovery: Cloud Account (Seatbelt, EWSRT)
- T1124 System Time Discovery (Seatbelt)
- T1135 Network Share Discovery (Cobalt Strike, Seatbelt, DTRIM)
- T1201 Password Policy Discovery (Seatbelt, Getdomainpasswordpolicy)
- T1217 Browser Bookmark Discovery (Seatbelt)
- T1518 Software Discovery (Seatbelt)
- T1482 Domain Trust Discovery (CoreHound, PuppyHound)
Lateral Movement
- T1021.001 Remote Services: Remote Desktop Protocol (Cobalt Strike)
- T1021.002 Remote Services: SMB/Windows Admin Shares (Cobalt Strike)
- T1021.003 Remote Services: Distributed Component Object Model (Cobalt Strike, DTRIM)
- T1021.004 Remote Services: SSH (Cobalt Strike)
- T1021.006 Remote Services: Windows Remote Management (Cobalt Strike, DTRIM, Impacket-Obfuscation, WMIRunner)
- T1047 Windows Management Instrumentation (Cobalt Strike, DTRIM)
- T1210 Exploitation of Remote Services (Impacket-Obfuscation, Expl-CVE-2018-15961, Expl-CVE-2019-0604, Expl-CVE-2019-0708, Expl-CVE-2019-11580, Expl-CVE-2019-3398, Expl-CVE-2020-0688, Expl-CVE-2020-10189)
- T1550.002 Use Alternate Authentication Material: Pass the Hash (Cobalt Strike)
Command and Control
- T1071.001 Application Layer Protocol: Web Protocols (Cobalt Strike)
- T1071.004 Application Layer Protocol: DNS (Cobalt Strike)
- T1090.001 Proxy: Internal Proxy (Cobalt Strike)
Sergey Rublev. Directeur du développement Pangeo Radar, CISSP