Clever Geek Handbook

Gestohlene Feueraugenwaffe





Am 8. Dezember gab FireEye bekannt, dass ein erfolgreicher Angriff dazu fĂŒhrte, dass eine hochqualifizierte APT-Gruppe Zugriff auf die Tools erhielt, die das Unternehmen als Arsenal des Roten Teams verwendete.



Unbeabsichtigt beziehen sich die Nachrichten auf 2017, als die CIA- und NSA-Tools zum Hacken der Infrastruktur in das Netzwerk gelangten. Diese Lecks gaben der Welt eine Vielzahl von Dienstprogrammen: von Exploits fĂŒr Heimrouter und Smart-TVs bis hin zur Steuerung von Servern fĂŒr infizierte Hosts. Die grĂ¶ĂŸte Resonanz wurde durch den EternalBlue-Exploit erzeugt, der in der Ransomware WannaCry, Petya, NotPetya verwendet wurde und die AktivitĂ€ten von Unternehmen auf der ganzen Welt lahmlegte.

ZurĂŒck zum aktuellen Fall: FireEye stellt sicher, dass die durchgesickerten Daten keine 0-Tage-Exploits und Tools zum Ausnutzen bisher unbekannter Techniken enthalten. FireEye hat außerdem eine Reihe von Regeln (YARA, Snort, OpenIOC, ClamAV) auf GitHub veröffentlicht, um durchgesickerte Tools zu erkennen.



Versuchen wir anhand der von FireEye bereitgestellten Informationen herauszufinden, welche Art von Arsenal die Angreifer wÀhrend eines erfolgreichen Angriffs erhalten haben und ob es ihnen gelungen ist, das Toolkit mit grundlegend neuen Mitteln zu erweitern.

Damit,



git clone https://github.com/fireeye/red_team_tool_countermeasures







Als nĂ€chstes versuchen wir, die vom Red Team FireEye-Team in verschiedenen Phasen der Angriffsentwicklung verwendeten Tools neu zu erstellen. Wir werden Techniken gemĂ€ĂŸ dem MITRE ATT & CK-Klassifikator betrachten



Vorbereitung bösartiger LadevorgÀnge (Ressourcenentwicklung)



  • Matryoshka – . , .
  • LNKSmasher – LNK- . LNK-.
  • GadgetToJScript – , .NET- VBS, VBA, JS, HTA.
  • Redflare – FireEye RedTeam.
  • RESUMEPLEASE – Microsoft Office c VBA (Visual Basic for Application) .
  • SinfulOffice ist ein Dienstprogramm zum Erstellen schĂ€dlicher Microsoft Office-Dokumente mit eingebetteten OLE-Objekten
  • WildChild - Dienstprogramm zum Erstellen schĂ€dlicher HTA-Dateien (HTML-Anwendung)
  • PrepShellCode - Dienstprogramm zum Vorbereiten von Shellcode


Erster Zugriff auf die Infrastruktur



Exploits, die in böswilligen Mailings verwendet werden und Benutzeraktionen erfordern:



  • Expl-CVE-2017-11774 - Exploit fĂŒr SicherheitslĂŒcke in Microsoft Outlook


Exploits fĂŒr Schwachstellen in öffentlichen Netzwerkdiensten:



  • Expl-CVE-2019-0708 ist ein Exploit fĂŒr eine SicherheitsanfĂ€lligkeit in Microsoft Remote Desktop Services (RDS), auch bekannt als BlueKeep.
  • Expl-CVE-2019-19781 – Citrix Application Delivery Controller (ADC) Citrix Gateway
  • Expl-CVE-2019-8394 – Zoho ManageEngine ServiceDesk Plus (SDP)


(Execution)



  • Cobalt Strike – . .
  • DShell – Windows-, D
  • DTRIM – SharpSploit – . windows-, .Net-, PowerShell, .
  • DueDLLigence – FireEye DLL .
  • Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI)
  • In-MemoryCompilation –
  • TrimBishop – RuralBishop, . suspended .
  • C_Sharp_SectionInjection – PE-


(Persistence)



  • Cobalt Strike – , StayKit (, , LNK, , WMI)
  • Mofcomp — MOF (Managed Object Format) WMI. .
  • SharPersist – FireEye Windows-. : KeePass, , , , SVN hook, ,
  • SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
  • SharpSchtask –
  • Justtask –
  • Keepersist –


(Privilege Escalation)



  • Cobalt Strike – . ElevateKit, (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
  • Sharpzerologon – Netlogon (CVE-2020-1472), Zerologon. . Cobalt Strike
  • Expl-CVE-2014-1812 – Group Policy Windows
  • Expl-CVE-2016-0167 – Windows kernel-mode driver
  • Expl-CVE-2020-1472 – Netlogon
  • Expl-CVE-2018-8581 – Microsoft Exchange


(Defense Evasion)



  • Cobalt Strike – , .
  • DTRIM – SharpSploit – . AMSI ETWEventWrite ETW
  • Matryoshka – . , . Process Hollowing
  • NoAmci – AMSI.dll c AMSI (Antimalware Scan Interface) Assembly.Load(). .NET- .
  • PGF – . . Application Whitelistening DLL
  • SharpStomp – : , ,
  • NET-Assembly-Inject – .Net
  • NetshShellCodeRunner – NetSh.exe DLL


(Credential Access)



  • Cobalt Strike – . .
  • Adpasshunt — Group Policy Preferences msSFU30Password UserPassword Active Directory
  • DTRIM – SharpSploit – . Kerberos
  • Excavator – .
  • Rubeus — Kerberos, Kerberoasting
  • Fluffy – Rubeus.
  • Impacket-Obfuscation — Impacket Windows-. (SAM, LSA, NTDS.dit), Kerberos ( Kerberos-, Golden Ticket), MiTM- NTLM.
  • InveighZero – MiTM- LLMNR, NBNS, mDNS, DNS, DHCPv6
  • KeeFarce – KeePass 2.x. DLL KeePass
  • PXELoot (PAL) – WDS (Windows Deployment Services)
  • SafetyKatz – LSASS. Mimikatz PE C#
  • TitoSpecial – AndrewSpecial LSASS. EDR
  • CredSnatcher –
  • WCMDump – Windows Credential Manager
  • Expl-CVE-2018-13379 – FortiOS SSL VPN,
  • Expl-CVE-2019-11510 – Pulse Secure SSL VPN,


(Discovery)



  • Cobalt Strike – . .
  • Seatbelt – Windows
  • CoreHound — .Net , fork SharpHound Active Directory .
  • PuppyHound – SharpHound Active Directory
  • DTRIM – SharpSploit – . .
  • EWSRT – RT-EWS Exchange, Office 365
  • Getdomainpasswordpolicy – Active Directory
  • gpohunt – Active Directory
  • SharpUtils – , C# execute assembly Cobalt Strike
  • WMISharp – WMI
  • WMIspy – WMI
  • modifiedsharpview — SharpView, Active Directory


(Lateral Movement)



  • Cobalt Strike – . (PsExec, WinRM, Windows Admin Shares)
  • DTRIM – SharpSploit – . WMI, DCOM, , PowerShell Remoting.
  • Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI) Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
  • WMIRunner – WMI
  • SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
  • Expl-CVE-2018-15961 – Adobe ColdFusion
  • Expl-CVE-2019-0604 – Microsoft Sharepoint
  • Expl-CVE-2019-0708 – Microsoft Remote Desktop Services (RDS), BlueKeep
  • Expl-CVE-2019-11580 – Atlassian Crowd
  • Expl-CVE-2019-3398 – Atlassian Confluence Server
  • Expl-CVE-2020-0688 – Microsoft Exchange
  • Expl-CVE-2020-10189 – ZoHo ManageEngine Desktop Central


(Command and Control)



  • Cobalt Strike – . Team Server .
  • DShell – Windows-, D
  • Redflare – FireEye RedTeam.
  • GoRAT – (Windows, MacOS), Redflare. Go
  • DoHC2 – Cobalt Strike DNS over HTTPS (DoH)
  • prat – remote access trojan




  • SharpGrep –
  • sharpdacl – ACL
  • sharpdns – DNS
  • sharpgopher – Gopher
  • sharpnativezipper –
  • sharpnfs – NFS
  • sharppatchcheck - Dienstprogramm zum ÜberprĂŒfen installierter Updates
  • sharpsqlclient - SQL-Client
  • Sharpwebcrawler - Crawler von Webseiten
  • Sharpziplibzipper - Komprimierungsprogramm mit libzip


Dienstprogramme mit unbekanntem Zweck



Nach den bereitgestellten Informationen konnte der Zweck dieser Dienstprogramme nicht verstanden werden.



  • All die Dinge
  • SharpGenerator
  • Lualoader
  • MSBuildMe
  • Revolver
  • Sharpsack
  • Scharf
  • red_team_materials
  • scharfe Vorlage


Ergebnisse der Analyse



  • Die meisten Tools sind fĂŒr Angriffe auf die Microsoft Windows-Infrastruktur ausgelegt
  • Zur Entwicklung des Angriffs werden das kommerzielle Framework Cobalt Strike sowie modifizierte Versionen bekannter Open Source-Projekte (SharpView, SharpSploit, Impacket, SharpHound, SafetyKatz) verwendet.
  • open source
  • , C#
  • FireEye .
  • ,


, :



  • Linux Unix-
  • Web-




Ein erfolgreicher Angriff auf den Riesen des Marktes fĂŒr Informationssicherheit wird zweifellos in die Liste der bedeutenden Ereignisse in unserer Branche aufgenommen, aber Sie mĂŒssen auch verstehen, dass das Toolkit des Roten Teams definitiv nicht das Ziel der Angreifer war. FireEye hat fĂŒr große Unternehmen auf der ganzen Welt gearbeitet und war auch Auftragnehmer fĂŒr US-Regierungsbehörden wie das Verteidigungsministerium, das Gesundheits- und Sozialwesen, das Finanzministerium, die Heimatschutzbehörde usw. Dienstprogramme.



Wie die Analyse gezeigt hat, wird selbst die Veröffentlichung von öffentlich zugĂ€nglichen Versorgungsunternehmen das Risikobild fĂŒr Organisationen nicht wesentlich beeinflussen. Der grĂ¶ĂŸte Teil des Arsenals steht Angreifern bereits in Form von Open-Source-Projekten zur VerfĂŒgung.



Parsing-Dienstprogramme mit MITRE ATT & CK-Techniken
AusfĂŒhrung

  • T1059.001 Befehls- und Skriptinterpreter: PowerShell (Cobalt Strike)
  • T1059.003 Befehls- und Skriptinterpreter: Windows-Befehlsshell (Cobalt Strike, DShell)
  • T1059.005 Command and Scripting Interpreter: Visual Basic (Cobalt Strike)
  • T1059.006 Command and Scripting Interpreter: Python (Cobalt Strike)
  • T1059.007 Command and Scripting Interpreter: JavaScript/JScript (GadgetToJscript)
  • T1106 Native API (Cobalt Strike, DTRIM)
  • T1129 Shared Modules (DueDDLigence)
  • T1203 Exploitation for Client Execution (Expl-CVE-2017-11774, Expl-CVE-2019-0708, Expl-CVE-2019-19781, Expl-CVE-2019-8394)
  • T1569.002 System Services: Service Execution (Cobalt Strike, Impacket-Obfuscation)


Persistence

  • T1053.005 Scheduled Task/Job: Scheduled Task (SharPersist)
  • T1543.003 Create or Modify System Process: Windows Service (Cobalt Strike, SharPersist)
  • T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription (Mofcomp)


Privilege Escalation

  • T1068 Exploitation for Privilege Escalation (Cobalt Strike, Sharpzerologon, Expl- CVE-2014-1812, Expl-CVE-2016-0167, Expl-CVE-2020-1472, Expl-CVE-2018-8581)
  • T1134.001 Access Token Manipulation: Token Impersonation/Theft (Cobalt Strike)
  • T1134.003 Access Token Manipulation: Make and Impersonate Token (Cobalt Strike)
  • T1134.004 Access Token Manipulation: Parent PID Spoofing (Cobalt Strike)


Defense Evasion

  • T1027.005 Obfuscated Files or Information: Indicator Removal from Tools (Cobalt Strike)
  • T1055 Process Injection (Cobalt Strike, NET-Assembly-Inject)
  • T1055.012 Process Injection: Process Hollowing (Cobalt Strike, Matryoshka)
  • T1070.006 Indicator Removal on Host: Timestomp (Cobalt Strike, SharpStomp)
  • T1197 BITS Jobs (Cobalt Strike)
  • T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control (Cobalt Strike) T1562.001 Impair Defenses: Disable or Modify Tools (DTRIM, NoAmci)
  • T1562.002 Impair Defenses: Disable Windows Event Logging (DTRIM)
  • T1572 Protocol Tunneling (Cobalt Strike)


Credential Access

  • T1003 OS Credential Dumping: Security Account Manager (Cobalt Strike, DTRIM, Excavator, Impacket-Obfuscation, SafetyKatz, TitoSpecial)
  • T1110 Brute Force (Rubeus, Fluffy)
  • T1056.001 Input Capture: Keylogging (Cobalt Strike)
  • T1552.006 Unsecured Credentials: Group Policy Preferences (Adpasshunt)
  • T1555 Credentials from Password Stores (Expl-CVE-2018-13379, Expl-CVE-2019-11510)
  • T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Impacket-Obfuscation, InveighZero)
  • T1558 Steal or Forge Kerberos Tickets (DTRIM, Rubeus, Fluffy, Impacket-Obfuscation)
  • T1040 Network Sniffing (Impacket-Obfuscation)
  • T1555.001 Process Injection: Dynamic-link Library Injection (KeeFarce)


Discovery

  • T1007 System Service Discovery (Seatbelt)
  • T1012 Query Registry (Seatbelt)
  • T1016 System Network Configuration Discovery (Cobalt Strike, Seatbelt)
  • T1018 Remote System Discovery (Cobalt Strike)
  • T1033 System Owner/User Discovery (Seatbelt)
  • T1046 Network Service Scanning (Cobalt Strike, DTRIM)
  • T1049 System Network Connections Discovery (Seatbelt)
  • T1057 Process Discovery (Cobalt Strike, DTRIM)
  • T1069.001 Permission Groups Discovery: Local Groups (Seatbelt, DTRIM)
  • T1069.002 Permission Groups Discovery: Domain Groups (CoreHound, DTRIM, PuppyHound, modifiedsharpview)
  • T1082 System Information Discovery (Seatbelt)
  • T1087.001 Account Discovery: Local Account (Seatbelt, DTRIM)
  • T1087.002 Account Discovery: Domain Account (Cobalt Strike, CoreHound, DTRIM, PuppyHound)
  • T1087.002 Account Discovery: Email Account (EWSRT)
  • T1087.004 Account Discovery: Cloud Account (Seatbelt, EWSRT)
  • T1124 System Time Discovery (Seatbelt)
  • T1135 Network Share Discovery (Cobalt Strike, Seatbelt, DTRIM)
  • T1201 Password Policy Discovery (Seatbelt, Getdomainpasswordpolicy)
  • T1217 Browser Bookmark Discovery (Seatbelt)
  • T1518 Software Discovery (Seatbelt)
  • T1482 Domain Trust Discovery (CoreHound, PuppyHound)


Lateral Movement

  • T1021.001 Remote Services: Remote Desktop Protocol (Cobalt Strike)
  • T1021.002 Remote Services: SMB/Windows Admin Shares (Cobalt Strike)
  • T1021.003 Remote Services: Distributed Component Object Model (Cobalt Strike, DTRIM)
  • T1021.004 Remote Services: SSH (Cobalt Strike)
  • T1021.006 Remote Services: Windows Remote Management (Cobalt Strike, DTRIM, Impacket-Obfuscation, WMIRunner)
  • T1047 Windows Management Instrumentation (Cobalt Strike, DTRIM)
  • T1210 Exploitation of Remote Services (Impacket-Obfuscation, Expl-CVE-2018-15961, Expl-CVE-2019-0604, Expl-CVE-2019-0708, Expl-CVE-2019-11580, Expl-CVE-2019-3398, Expl-CVE-2020-0688, Expl-CVE-2020-10189)
  • T1550.002 Use Alternate Authentication Material: Pass the Hash (Cobalt Strike)


Command and Control

  • T1071.001 Application Layer Protocol: Web Protocols (Cobalt Strike)
  • T1071.004 Application Layer Protocol: DNS (Cobalt Strike)
  • T1090.001 Proxy: Internal Proxy (Cobalt Strike)




Sergey Rublev. Entwicklungsleiter Pangeo Radar, CISSP


More articles:


All Articles