💅🏾 🤽🏻 🏐 Arma FireEye roubada 🧔🏽 🌧️ 🍃

Em 8 de dezembro, a FireEye anunciou que um ataque bem-sucedido resultou em um grupo APT altamente qualificado ganhando acesso às ferramentas que a empresa usava como arsenal do Red Team.

Sem querer, a notícia se refere a 2017, quando as ferramentas da CIA e da NSA para hackear a infraestrutura entraram na rede. Esses vazamentos deram ao mundo uma ampla variedade de utilitários: de exploits para roteadores domésticos e Smart TVs a servidores de controle para hosts infectados. A maior ressonância foi gerada pelo exploit EternalBlue, que foi usado no ransomware WannaCry, Petya, NotPetya, que paralisou as atividades de empresas ao redor do mundo.

Voltando ao caso atual, a FireEye garante que não há exploits e ferramentas de dia 0 para explorar técnicas anteriormente desconhecidas nos dados vazados. A FireEye também publicou um conjunto de regras (YARA, Snort, OpenIOC, ClamAV) no GitHub para detectar ferramentas que vazaram.

Com base nas informações fornecidas pela FireEye, vamos tentar descobrir que tipo de arsenal os invasores receberam durante um ataque bem-sucedido e se eles conseguiram expandir o kit de ferramentas com alguns meios fundamentalmente novos.

Então,

git clone https://github.com/fireeye/red_team_tool_countermeasures

A seguir, vamos tentar recriar as ferramentas usadas pela equipe do Red Team FireEye em diferentes estágios de desenvolvimento do ataque. Vamos considerar as técnicas de acordo com o classificador MITER ATT & CK

Preparação preliminar de uma carga maliciosa (Desenvolvimento de Recursos)

Matryoshka – . , .
LNKSmasher – LNK- . LNK-.
GadgetToJScript – , .NET- VBS, VBA, JS, HTA.
Redflare – FireEye RedTeam.
RESUMEPLEASE – Microsoft Office c VBA (Visual Basic for Application) .
SinfulOffice é um utilitário para criar documentos maliciosos do Microsoft Office com objetos OLE incorporados
WildChild - utilitário para criar arquivos HTA maliciosos (aplicativo HTML)
PrepShellCode - utilitário para preparar o shellcode

Acesso inicial à infraestrutura

Explorações usadas em correspondências maliciosas que exigem ação do usuário:

Expl-CVE-2017-11774 - exploração de vulnerabilidade no Microsoft Outlook

Explorações de vulnerabilidades em serviços de rede pública:

Expl-CVE-2019-0708 é uma exploração para uma vulnerabilidade no Microsoft Remote Desktop Services (RDS), também conhecido como BlueKeep.
Expl-CVE-2019-19781 – Citrix Application Delivery Controller (ADC) Citrix Gateway
Expl-CVE-2019-8394 – Zoho ManageEngine ServiceDesk Plus (SDP)

(Execution)

Cobalt Strike – . .
DShell – Windows-, D
DTRIM – SharpSploit – . windows-, .Net-, PowerShell, .
DueDLLigence – FireEye DLL .
Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI)
In-MemoryCompilation –
TrimBishop – RuralBishop, . suspended .
C_Sharp_SectionInjection – PE-

(Persistence)

Cobalt Strike – , StayKit (, , LNK, , WMI)
Mofcomp — MOF (Managed Object Format) WMI. .
SharPersist – FireEye Windows-. : KeePass, , , , SVN hook, ,
SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
SharpSchtask –
Justtask –
Keepersist –

(Privilege Escalation)

Cobalt Strike – . ElevateKit, (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
Sharpzerologon – Netlogon (CVE-2020-1472), Zerologon. . Cobalt Strike
Expl-CVE-2014-1812 – Group Policy Windows
Expl-CVE-2016-0167 – Windows kernel-mode driver
Expl-CVE-2020-1472 – Netlogon
Expl-CVE-2018-8581 – Microsoft Exchange

(Defense Evasion)

Cobalt Strike – , .
DTRIM – SharpSploit – . AMSI ETWEventWrite ETW
Matryoshka – . , . Process Hollowing
NoAmci – AMSI.dll c AMSI (Antimalware Scan Interface) Assembly.Load(). .NET- .
PGF – . . Application Whitelistening DLL
SharpStomp – : , ,
NET-Assembly-Inject – .Net
NetshShellCodeRunner – NetSh.exe DLL

(Credential Access)

Cobalt Strike – . .
Adpasshunt — Group Policy Preferences msSFU30Password UserPassword Active Directory
DTRIM – SharpSploit – . Kerberos
Excavator – .
Rubeus — Kerberos, Kerberoasting
Fluffy – Rubeus.
Impacket-Obfuscation — Impacket Windows-. (SAM, LSA, NTDS.dit), Kerberos ( Kerberos-, Golden Ticket), MiTM- NTLM.
InveighZero – MiTM- LLMNR, NBNS, mDNS, DNS, DHCPv6
KeeFarce – KeePass 2.x. DLL KeePass
PXELoot (PAL) – WDS (Windows Deployment Services)
SafetyKatz – LSASS. Mimikatz PE C#
TitoSpecial – AndrewSpecial LSASS. EDR
CredSnatcher –
WCMDump – Windows Credential Manager
Expl-CVE-2018-13379 – FortiOS SSL VPN,
Expl-CVE-2019-11510 – Pulse Secure SSL VPN,

(Discovery)

Cobalt Strike – . .
Seatbelt – Windows
CoreHound — .Net , fork SharpHound Active Directory .
PuppyHound – SharpHound Active Directory
DTRIM – SharpSploit – . .
EWSRT – RT-EWS Exchange, Office 365
Getdomainpasswordpolicy – Active Directory
gpohunt – Active Directory
SharpUtils – , C# execute assembly Cobalt Strike
WMISharp – WMI
WMIspy – WMI
modifiedsharpview — SharpView, Active Directory

(Lateral Movement)

Cobalt Strike – . (PsExec, WinRM, Windows Admin Shares)
DTRIM – SharpSploit – . WMI, DCOM, , PowerShell Remoting.
Impacket-Obfuscation – Impacket Windows-. (PSExec, Tack Scheduler WMI) Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
WMIRunner – WMI
SharPivot – .Net . : WMI, RPC, , , WinRM, COM, ,
Expl-CVE-2018-15961 – Adobe ColdFusion
Expl-CVE-2019-0604 – Microsoft Sharepoint
Expl-CVE-2019-0708 – Microsoft Remote Desktop Services (RDS), BlueKeep
Expl-CVE-2019-11580 – Atlassian Crowd
Expl-CVE-2019-3398 – Atlassian Confluence Server
Expl-CVE-2020-0688 – Microsoft Exchange
Expl-CVE-2020-10189 – ZoHo ManageEngine Desktop Central

(Command and Control)

Cobalt Strike – . Team Server .
DShell – Windows-, D
Redflare – FireEye RedTeam.
GoRAT – (Windows, MacOS), Redflare. Go
DoHC2 – Cobalt Strike DNS over HTTPS (DoH)
prat – remote access trojan

SharpGrep –
sharpdacl – ACL
sharpdns – DNS
sharpgopher – Gopher
sharpnativezipper –
sharpnfs – NFS
sharppatchcheck - utilitário para verificar atualizações instaladas
sharpsqlclient - cliente SQL
sharpwebcrawler - rastreador de páginas da web
sharpziplibzipper - utilitário de compressão usando libzip

Utilitários de propósito desconhecido

De acordo com as informações fornecidas, não foi possível compreender a finalidade desses utilitários.

Todas as coisas
SharpGenerator
Lualoader
MSBuildMe
Revólver
Sharpsack
Sharpy
red_team_materials
sharptemplate

Resultados da análise

A maioria das ferramentas são projetadas para realizar ataques à infraestrutura do Microsoft Windows
Para desenvolver o ataque, o framework comercial Cobalt Strike é usado, bem como versões modificadas de conhecidos projetos de código aberto (SharpView, SharpSploit, Impacket, SharpHound, SafetyKatz)
open source
, C#
FireEye .
,

, :

Linux Unix-
Web-

Um ataque bem-sucedido ao gigante do mercado de segurança da informação, sem dúvida, será incluído na lista de eventos significativos em nosso setor, mas você também precisa entender que as ferramentas do Red Team definitivamente não foram o alvo dos atacantes. A FireEye trabalhou para grandes empresas em todo o mundo e também foi contratada por agências governamentais dos EUA, como Departamento de Defesa, Saúde e Serviços Humanos, Tesouro, Segurança Interna e outros. Os dados dessas organizações são um pedaço mais saboroso para hackers pró-governo do que uma seleção de exploits Serviços de utilidade pública.

Como a análise mostrou, mesmo a publicação de serviços públicos no domínio público não afetará significativamente o quadro de risco para as organizações. a maior parte do arsenal já está disponível para invasores na forma de projetos de código aberto.

Utilitários de análise por técnicas MITER ATT & CK

Execution

T1059.001 Command and Scripting Interpreter: PowerShell (Cobalt Strike)
T1059.003 Command and Scripting Interpreter: Windows Command Shell (Cobalt Strike, DShell)
T1059.005 Command and Scripting Interpreter: Visual Basic (Cobalt Strike)
T1059.006 Command and Scripting Interpreter: Python (Cobalt Strike)
T1059.007 Command and Scripting Interpreter: JavaScript/JScript (GadgetToJscript)
T1106 Native API (Cobalt Strike, DTRIM)
T1129 Shared Modules (DueDDLigence)
T1203 Exploitation for Client Execution (Expl-CVE-2017-11774, Expl-CVE-2019-0708, Expl-CVE-2019-19781, Expl-CVE-2019-8394)
T1569.002 System Services: Service Execution (Cobalt Strike, Impacket-Obfuscation)

Persistence

T1053.005 Scheduled Task/Job: Scheduled Task (SharPersist)
T1543.003 Create or Modify System Process: Windows Service (Cobalt Strike, SharPersist)
T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription (Mofcomp)

Privilege Escalation

T1068 Exploitation for Privilege Escalation (Cobalt Strike, Sharpzerologon, Expl- CVE-2014-1812, Expl-CVE-2016-0167, Expl-CVE-2020-1472, Expl-CVE-2018-8581)
T1134.001 Access Token Manipulation: Token Impersonation/Theft (Cobalt Strike)
T1134.003 Access Token Manipulation: Make and Impersonate Token (Cobalt Strike)
T1134.004 Access Token Manipulation: Parent PID Spoofing (Cobalt Strike)

Defense Evasion

T1027.005 Obfuscated Files or Information: Indicator Removal from Tools (Cobalt Strike)
T1055 Process Injection (Cobalt Strike, NET-Assembly-Inject)
T1055.012 Process Injection: Process Hollowing (Cobalt Strike, Matryoshka)
T1070.006 Indicator Removal on Host: Timestomp (Cobalt Strike, SharpStomp)
T1197 BITS Jobs (Cobalt Strike)
T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control (Cobalt Strike) T1562.001 Impair Defenses: Disable or Modify Tools (DTRIM, NoAmci)
T1562.002 Impair Defenses: Disable Windows Event Logging (DTRIM)
T1572 Protocol Tunneling (Cobalt Strike)

Credential Access

T1003 OS Credential Dumping: Security Account Manager (Cobalt Strike, DTRIM, Excavator, Impacket-Obfuscation, SafetyKatz, TitoSpecial)
T1110 Brute Force (Rubeus, Fluffy)
T1056.001 Input Capture: Keylogging (Cobalt Strike)
T1552.006 Unsecured Credentials: Group Policy Preferences (Adpasshunt)
T1555 Credentials from Password Stores (Expl-CVE-2018-13379, Expl-CVE-2019-11510)
T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Impacket-Obfuscation, InveighZero)
T1558 Steal or Forge Kerberos Tickets (DTRIM, Rubeus, Fluffy, Impacket-Obfuscation)
T1040 Network Sniffing (Impacket-Obfuscation)
T1555.001 Process Injection: Dynamic-link Library Injection (KeeFarce)

Discovery

T1007 System Service Discovery (Seatbelt)
T1012 Query Registry (Seatbelt)
T1016 System Network Configuration Discovery (Cobalt Strike, Seatbelt)
T1018 Remote System Discovery (Cobalt Strike)
T1033 System Owner/User Discovery (Seatbelt)
T1046 Network Service Scanning (Cobalt Strike, DTRIM)
T1049 System Network Connections Discovery (Seatbelt)
T1057 Process Discovery (Cobalt Strike, DTRIM)
T1069.001 Permission Groups Discovery: Local Groups (Seatbelt, DTRIM)
T1069.002 Permission Groups Discovery: Domain Groups (CoreHound, DTRIM, PuppyHound, modifiedsharpview)
T1082 System Information Discovery (Seatbelt)
T1087.001 Account Discovery: Local Account (Seatbelt, DTRIM)
T1087.002 Account Discovery: Domain Account (Cobalt Strike, CoreHound, DTRIM, PuppyHound)
T1087.002 Account Discovery: Email Account (EWSRT)
T1087.004 Account Discovery: Cloud Account (Seatbelt, EWSRT)
T1124 System Time Discovery (Seatbelt)
T1135 Network Share Discovery (Cobalt Strike, Seatbelt, DTRIM)
T1201 Password Policy Discovery (Seatbelt, Getdomainpasswordpolicy)
T1217 Browser Bookmark Discovery (Seatbelt)
T1518 Software Discovery (Seatbelt)
T1482 Domain Trust Discovery (CoreHound, PuppyHound)

Lateral Movement

T1021.001 Remote Services: Remote Desktop Protocol (Cobalt Strike)
T1021.002 Remote Services: SMB/Windows Admin Shares (Cobalt Strike)
T1021.003 Remote Services: Distributed Component Object Model (Cobalt Strike, DTRIM)
T1021.004 Remote Services: SSH (Cobalt Strike)
T1021.006 Remote Services: Windows Remote Management (Cobalt Strike, DTRIM, Impacket-Obfuscation, WMIRunner)
T1047 Windows Management Instrumentation (Cobalt Strike, DTRIM)
T1210 Exploitation of Remote Services (Impacket-Obfuscation, Expl-CVE-2018-15961, Expl-CVE-2019-0604, Expl-CVE-2019-0708, Expl-CVE-2019-11580, Expl-CVE-2019-3398, Expl-CVE-2020-0688, Expl-CVE-2020-10189)
T1550.002 Use Alternate Authentication Material: Pass the Hash (Cobalt Strike)

Command and Control

T1071.001 Application Layer Protocol: Web Protocols (Cobalt Strike)
T1071.004 Application Layer Protocol: DNS (Cobalt Strike)
T1090.001 Proxy: Internal Proxy (Cobalt Strike)

Sergey Rublev. Diretor de Desenvolvimento Pangeo Radar, CISSP

Arma FireEye roubada