Senjata FireEye yang Dicuri

Pada 8 Desember, FireEye mengumumkan bahwa serangan yang berhasil mengakibatkan grup APT yang sangat terampil mendapatkan akses ke alat yang digunakan perusahaan sebagai gudang senjata Tim Merah.



Tanpa disadari, pemberitaan tersebut merujuk pada tahun 2017, ketika alat CIA dan NSA untuk meretas infrastruktur tersebut masuk ke dalam jaringan. Kebocoran ini memberi dunia berbagai macam utilitas: dari eksploitasi untuk router rumah dan Smart TV hingga server kontrol untuk host yang terinfeksi. Resonansi terbesar dihasilkan oleh eksploitasi EternalBlue yang digunakan dalam ransomware WannaCry, Petya, NotPetya, yang melumpuhkan aktivitas perusahaan di seluruh dunia.

Kembali ke kasus saat ini, FireEye memastikan bahwa data yang bocor tidak termasuk eksploitasi 0 hari dan alat untuk mengeksploitasi teknik yang sebelumnya tidak diketahui. FireEye juga menerbitkan seperangkat aturan (YARA, Snort, OpenIOC, ClamAV) di GitHub untuk mendeteksi alat yang bocor.



Berdasarkan informasi yang diberikan oleh FireEye, mari kita coba mencari tahu jenis persenjataan yang diterima penyerang selama serangan yang berhasil dan apakah mereka berhasil memperluas perangkat dengan cara yang secara fundamental baru.

Begitu,



git clone https://github.com/fireeye/red_team_tool_countermeasures







Selanjutnya, mari kita coba membuat ulang alat yang digunakan oleh Tim Merah FireEye pada berbagai tahap pengembangan serangan. Kami akan mempertimbangkan teknik sesuai dengan pengklasifikasi MITRE ATT & CK

Persiapan awal beban berbahaya (Pengembangan Sumber Daya)

• Matryoshka – . , .
• LNKSmasher – LNK- . LNK-.
• GadgetToJScript – , .NET- VBS, VBA, JS, HTA.
• Redflare – FireEye RedTeam.
• RESUMEPLEASE – Microsoft Office c VBA (Visual Basic for Application) .
• SinfulOffice adalah utilitas untuk membuat dokumen Microsoft Office berbahaya dengan objek OLE yang disematkan
• WildChild - utilitas untuk membuat file HTA berbahaya (Aplikasi HTML)
• PrepShellCode - utilitas untuk menyiapkan shellcode

Akses Awal ke Infrastruktur

Eksploitasi yang digunakan dalam email berbahaya yang memerlukan tindakan pengguna:

• Expl-CVE-2017-11774 - mengeksploitasi kerentanan di Microsoft Outlook

Eksploitasi untuk kerentanan dalam layanan jaringan publik:

• Expl-CVE-2019-0708 adalah eksploitasi untuk kerentanan di Microsoft Remote Desktop Services (RDS), juga dikenal sebagai BlueKeep.
• Expl-CVE-2019-19781 – Citrix Application Delivery Controller (ADC) Citrix Gateway
• Expl-CVE-2019-8394 – Zoho ManageEngine ServiceDesk Plus (SDP)

(Execution)

• Cobalt Strike – . .
• DShell – Windows-, D
• DTRIM – SharpSploit – . windows-, .Net-, PowerShell, .
• DueDLLigence – FireEye DLL .
• Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI)
• In-MemoryCompilation –
• TrimBishop – RuralBishop, . suspended .
• C_Sharp_SectionInjection – PE-

(Persistence)

• Cobalt Strike – , StayKit (, , LNK, , WMI)
• Mofcomp — MOF (Managed Object Format) WMI. .
• SharPersist – FireEye Windows-. : KeePass, , , , SVN hook, ,
• SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
• SharpSchtask –
• Justtask –
• Keepersist –

(Privilege Escalation)

• Cobalt Strike – . ElevateKit, (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
• Sharpzerologon – Netlogon (CVE-2020-1472), Zerologon. . Cobalt Strike
• Expl-CVE-2014-1812 – Group Policy Windows
• Expl-CVE-2016-0167 – Windows kernel-mode driver
• Expl-CVE-2020-1472 – Netlogon
• Expl-CVE-2018-8581 – Microsoft Exchange

(Defense Evasion)

• Cobalt Strike – , .
• DTRIM – SharpSploit – . AMSI ETWEventWrite ETW
• Matryoshka – . , . Process Hollowing
• NoAmci – AMSI.dll c AMSI (Antimalware Scan Interface) Assembly.Load(). .NET- .
• PGF – . . Application Whitelistening DLL
• SharpStomp – : , ,
• NET-Assembly-Inject – .Net
• NetshShellCodeRunner – NetSh.exe DLL

(Credential Access)

• Cobalt Strike – . .
• Adpasshunt — Group Policy Preferences msSFU30Password UserPassword Active Directory
• DTRIM – SharpSploit – . Kerberos
• Excavator – .
• Rubeus — Kerberos, Kerberoasting
• Fluffy – Rubeus.
• Impacket-Obfuscation — Impacket Windows-. (SAM, LSA, NTDS.dit), Kerberos ( Kerberos-, Golden Ticket), MiTM- NTLM.
• InveighZero – MiTM- LLMNR, NBNS, mDNS, DNS, DHCPv6
• KeeFarce – KeePass 2.x. DLL KeePass
• PXELoot (PAL) – WDS (Windows Deployment Services)
• SafetyKatz – LSASS. Mimikatz PE C#
• TitoSpecial – AndrewSpecial LSASS. EDR
• CredSnatcher –
• WCMDump – Windows Credential Manager
• Expl-CVE-2018-13379 – FortiOS SSL VPN,
• Expl-CVE-2019-11510 – Pulse Secure SSL VPN,

(Discovery)

• Cobalt Strike – . .
• Seatbelt – Windows
• CoreHound — .Net , fork SharpHound Active Directory .
• PuppyHound – SharpHound Active Directory
• DTRIM – SharpSploit – . .
• EWSRT – RT-EWS Exchange, Office 365
• Getdomainpasswordpolicy – Active Directory
• gpohunt – Active Directory
• SharpUtils – , C# execute assembly Cobalt Strike
• WMISharp – WMI
• WMIspy – WMI
• modifiedsharpview — SharpView, Active Directory

(Lateral Movement)

• Cobalt Strike – . (PsExec, WinRM, Windows Admin Shares)
• DTRIM – SharpSploit – . WMI, DCOM, , PowerShell Remoting.
• Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI) Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
• WMIRunner – WMI
• SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
• Expl-CVE-2018-15961 – Adobe ColdFusion
• Expl-CVE-2019-0604 – Microsoft Sharepoint
• Expl-CVE-2019-0708 – Microsoft Remote Desktop Services (RDS), BlueKeep
• Expl-CVE-2019-11580 – Atlassian Crowd
• Expl-CVE-2019-3398 – Atlassian Confluence Server
• Expl-CVE-2020-0688 – Microsoft Exchange
• Expl-CVE-2020-10189 – ZoHo ManageEngine Desktop Central

(Command and Control)

• Cobalt Strike – . Team Server .
• DShell – Windows-, D
• Redflare – FireEye RedTeam.
• GoRAT – (Windows, MacOS), Redflare. Go
• DoHC2 – Cobalt Strike DNS over HTTPS (DoH)
• prat – remote access trojan

• SharpGrep –
• sharpdacl – ACL
• sharpdns – DNS
• sharpgopher – Gopher
• sharpnativezipper –
• sharpnfs – NFS
• sharppatchcheck - utilitas untuk memeriksa pembaruan yang diinstal
• sharpsqlclient - klien SQL
• sharpwebcrawler - Crawler halaman web
• sharpziplibzipper - utilitas kompresi menggunakan libzip

Utilitas dengan tujuan yang tidak diketahui

Menurut informasi yang diberikan, tujuan dari utilitas ini tidak dapat dipahami.

• Semuanya
• SharpGenerator
• Lualoader
• MSBuildMe
• Pistol
• Sharpsack
• Sharpy
• red_team_materials
• sharptemplate

Hasil analisis

• Sebagian besar alat dirancang untuk melakukan serangan pada infrastruktur Microsoft Windows
• Untuk mengembangkan serangan, kerangka kerja komersial Cobalt Strike digunakan, serta versi modifikasi dari proyek open source terkenal (SharpView, SharpSploit, Impacket, SharpHound, SafetyKatz)
• open source
• , C#
• FireEye .
• ,

, :

• Linux Unix-
• Web-

Serangan sukses terhadap raksasa pasar keamanan informasi tidak diragukan lagi akan dimasukkan dalam daftar peristiwa penting dalam industri kami, tetapi Anda juga perlu memahami bahwa perangkat Tim Merah jelas bukan target para penyerang. FireEye telah bekerja untuk perusahaan besar di seluruh dunia dan juga merupakan kontraktor untuk lembaga pemerintah AS, seperti Departemen Pertahanan, Kesehatan dan Layanan Kemanusiaan, Perbendaharaan, Keamanan Dalam Negeri, dll. Data dari organisasi ini adalah potongan yang lebih enak untuk peretas pro pemerintah daripada pilihan eksploitasi dan keperluan.



Seperti yang ditunjukkan oleh analisis, bahkan publikasi utilitas di domain publik tidak akan secara signifikan memengaruhi gambaran risiko bagi organisasi. sebagian besar gudang senjata telah tersedia untuk penyerang dalam bentuk proyek sumber terbuka.





Sergey Rublev. Direktur Pengembangan Pangeo Radar, CISSP