Temos lido diariamente sobre novas violações este ano, mas o último incidente é diferente de todos os outros que vimos até agora. A FireEye, assim como toda empresa de segurança, luta por uma boa causa. A responsabilidade deles agora é divulgar de forma matura e transparente contramedidas para detectar o uso dessas ferramentas roubadas.
Sumário Executivo
Neste artigo foram analisadas 60 ferramentas roubadas do Red Team da FireEye para entender o impacto dessa violação. E foram encontradas:
- 43% das ferramentas roubadas estão públicamente disponíveis e são utilizadas em técnicas de ataques
- 40% das ferramentas são desenvolvidas pela própria FireEye. Essas ferramentas também utilizam técnicas conhecidas dos adversários.
- 17% das ferramentas roubadas não podem ser identificadas, já que a FireEye não compartilhou detalhes sobre as mesmas.
De acordo com seus nomes, acredita-se que a maioria dessas ferramentas desconhecidas também são versões levemente modificadas de ferramentas públicas disponíveis.
A FireEye também anunciou que os exploits das 16 ferramentas foram roubados. Mas não é preciso preocupação em relação à essas vulnerabilidades e exploits, uma vez que já são conhecidos.
No começo, essa violação continou sendo a ferramenta de hacking roubada da NSA publicadas no vazamento da Shadow Brokers. Alguns exploits de alta gravidade de 0-day foram lançados na violação da NSA. Esses 0-day exploits causam severos incidentes de segurança ao redor do mundo, assim como a WannaCry e NotPetya. Entretanto, ferramentas roubadas e exploits na violação da FireEye utilizam técnicas de ataques conhecidos. Algumas análises mostram que essa violação não terá grande impacto nas organizações. Ainda assim, as contramedidas devem ser tomadas, uma vez que são frequentemente utilizadas por agentes de ameaças.
Ferramentas roubadas do Red Team
A FireEye não divulgou detalhes sobre o que as ferramentas do Red Team fazem. De acordo com a Picus Security, essas ferramentas podem ser categorizadas em quatro pontos:
- Ferramentas basadas em Open Source Projects: essas ferramentas são versões levemente modificadas do open-source.
- Ferramentas baseadas em Built-In Windows Binaries: essas utilizam built-in Windows binaries conhecidas como LOLBIN’s (Living Off The Land Binaries).
- Ferramentas desenvolvidas In-House pelo Red Team da FireEye: essas são especialmente desenvolvidas para o uso do Red Team da FireEye.
- Ferramentas sem dados adequados para análise: não há dados suficientes para analisar essas ferramentas. As regras Yara publicadas pela FireEye para as seguintes ferramentas são específicas do ProjectGuid das mesmas.
O gráfico abaixo mostra a distribuição das ferramentas roubadas do Red Team de acordo com as categorias acima.
Exploits roubados
Além das ferramentas do Red Team, existem cargas de exploits afetados pelo incidente. De acordo com o report da FireEye, as cargas úteis vazadas não incluem 0-day exploit. Segue a lista de vulnerabilidades das cargas de exploits vazadas.
| CVE Number | Vulnerability Type | Affected Product | CVSS |
| CVE-2014-1812 | Privilege Escalation | Windows | 9.0 |
| CVE-2016-0167 | Privilege Escalation | Microsoft Windows | 7.8 |
| CVE-2017-11774 | Remote Code Execution | Microsoft Outlook | 7.8 |
| CVE-2018-13379 | Pre-auth Arbitrary File Read | Fortigate SSL VPN | 9.8 |
| CVE-2018-15961 | Remote Code Execution | Adobe ColdFusion | 9.8 |
| CVE-2019-0604 | Remote Code Execution | Microsoft Sharepoint | 9.8 |
| CVE-2019-0708 | Remote Code Execution | Windows Remote Desktop Services (RDS) | 9.8 |
| CVE-2019-11510 | Pre-auth Arbitrary File Read | Pulse Secure SSL VPN | 10.0 |
| CVE-2019-11580 | Remote Code Execution | Atlassian Crowd | 9.8 |
| CVE-2019-19781 | Remote Code Execution | Citrix Application Delivery Controller and Citrix Gateway | 9.8 |
| CVE-2019-3398 | Authenticated Remote Code Execution | Confluence | 8.8 |
| CVE-2019-8394 | Pre-auth Arbitrary File Upload | ZoHo ManageEngine ServiceDesk Plus | 6.5 |
| CVE-2020-0688 | Remote Code Execution | Microsoft Exchange | 8.8 |
| CVE-2020-1472 | Privilege Escalation | Microsoft Active Directory | 10.0 |
| CVE-2018-8581 | Privilege Escalation | Microsoft Exchange Server | 7.4 |
| CVE-2020-10189 | Remote Code Execution | ZoHo ManageEngine Desktop Central | 9.8 |
| CVE-2014-1812 | Privilege Escalation | Windows | 9.0 |
| CVE-2016-0167 | Privilege Escalation | Microsoft Windows | 7.8 |
| CVE-2017-11774 | Remote Code Execution | Microsoft Outlook | 7.8 |
| CVE-2018-15961 | Remote Code Execution | Adobe ColdFusion | 9.8 |
| CVE-2019-11580 | Remote Code Execution | Atlassian Crowd | 9.8 |
| CVE-2019-8394 | Pre-auth Arbitrary File Upload | ZoHo ManageEngine ServiceDesk Plus | 6.5 |
| CVE-2018-8581 | Privilege Escalation | Microsoft Exchange Server | 7.4 |
O gráfico abaixo mostra a distribuição de vulnerabilidades de acordo com seu tipo:
Suspeitos usuais
A FireEye frequentemente se envolve com atores de ameaças russos, sendo uma empresa de segurança cibernética que luta com grupos APT e atores de ameaças do Estado-nação. De acordo com o Washington Post, o APT29 (também conhecido como YTTRIUM, The Dukes, Cozy Bear e CozyDuke) executou a violação FireEye. No entanto, não há evidências para provar isso.
Atualização (14 de dezembro de 2020)
A empresa de TI SolarWinds anunciou no domingo (13/12) que o produto de monitoramento de rede SolarWinds Orion foi adulterado por um agente de ameaça patrocinado pelo estado por meio da incorporação de código backdoor em uma biblioteca SolarWinds legítima. Isso faz com que o invasor tenha acesso remoto ao ambiente da vítima e um ponto de apoio na rede, que pode ser usado pelo invasor para obter credenciais privilegiadas. Hoje, a violação SolarWinds está conectada à violação FireEye e as suspeitas na Rússia aumentaram.
Recomendações de Blue Team
O Blue Team da Picus Security preparou uma lista de recomendações para previnir e detectar as ferramentas e exploits roubados.
- Mitigando vulnerabilidades
Avalie seus sistemas contra as vulnerabilidades listadas na seção acima usando ferramentas de monitoramento e varredura de vulnerabilidade. Se houver alguma falha que você ainda não corrigiu, você deve corrigi-la e verificar se houve abuso em seus sistemas.
2. Avaliação de compromisso
Você pode realizar avaliações de comprometimento em seus sistemas usando as regras Yara lançados pela FireEye. Para utilizar as regras Yara, você pode usar uma ferramenta de varredura Yara de código aberto ou um produto corporativo e distribuí-lo para os enpoints em seus sistemas e, em seguida, adicionar as regras e obter os resultados. Além disso, você pode usar IoCs incluídos nas regras Yara e pesquisá-los em seu ambiente SIEM.
3. Utilizar IOCs
Para prevenir e detectar ameaças futuras relacionadas, você pode adicionar IOCs fornecidos neste relatório aos seus produtos de segurança, como EDR, EPP e SIEM. No entanto, lembre-se de que esses IoCs podem ser facilmente alterados por adversários.
4. Utilizar as regras de Snort
A maioria dos produtos de segurança de rede oferece suporte às regras do Snort. Você pode adicionar regras do Snort lançadas aos seus dispositivos de segurança. Se você já está usando o Snort, pode verificar se as regras atuais estão atualizadas.
5. Atualize seus produtos de segurança
Os fornecedores de segurança estão lançando novas assinaturas e conjuntos de regras que incluem contramedidas contra ferramentas roubadas. Atualize seus produtos de segurança e seus conjuntos de regras e assinaturas.
6. Caça com OpenIOC
A FireEye lançou algumas contramedidas no formato OpenIoC. Você pode adicionar essas regras aos seus dispositivos de segurança, desenvolvendo regras de detecção e caça usando editores IoC.
Análises detalhadas das ferramentas
- Ferramentas baseadas em Open Source Projects
Essas ferramentas do Red Team são versões levemente modificadas da Open Source.
1.1 ADPassHunt
É uma ferramenta de ladrão de credenciais que busca credenciais do Active Directory. Existem duas strings notáveis na regra YARA desta ferramenta: Get-GPPPasswords e Get-GPPAutologons. Get-GPPPassword é um script do PowerShell que recupera a senha de texto simples e outras informações para contas enviadas por meio de Preferências de Política de Grupo (GPP). Get-GPPAutologons é outro script do PowerShell que recupera senhas de entradas de Autologon que são enviadas por push por meio de GPP. Esses scripts são usados como funções no PowerSploit, que é uma estrutura de segurança ofensiva que combina módulos e scripts do PowerShell.
| MITRE ATT&CK Techniques T1003.003 OS Credential Dumping: NTDS T1552.06 Unsecured Credentials: Group Policy Preferences |
| AdPassHunt IOCs 590bd7609edf9ea8dab0b5fbc38393a870b329de 29385446751ddbca27c26c43015be7ab0d548b895531fba9b03d612e53bd9ff0 |
1.2 Beacon
Esta ferramenta do Red Team é baseada no farol CobaltStrike. Um beacon é uma carga útil CobaltStrike usada por adversários para vários objetivos, como persistência, execução, escalonamento de privilégios, despejo de credenciais, movimento lateral e comunicação de Comando e Controle (C2) sobre protocolos HTTP, HTTPS, DNS, SMB e TCP. De acordo com as contra-medidas publicadas pela FireEye, a ferramenta Beacon usa beacons HTTP, HTTPS e DNS. A ferramenta Beacon utiliza built-in Windows binaries, como msbuild.exe, Microsoft.Workflow.Compiler.exe e regsvr32.exe para executar cargas arbitrárias e searchindexer.exe para injeção de processo para evitar defesas. Ele renomeia esses binários para evitar regras de detecção baseadas em nomes por meio de mascaramento.
| MITRE ATT&CK Techniques T1071.001 Application Layer Protocol: Web Protocols T1029 Scheduled Transfer T1036.003 Masquerading: Rename System Utilities T1036.004 Masquerading: Task or Service T1036.005 Masquerading: Match Legitimate Name or Location T1574.002 Hijack Execution Flow: DLL Side-Loading T1047 Windows Management Instrumentation T1072 Software Deployment Tools T1059.003 Command and Scripting Interpreter: Windows Command Shell |
| CobaltStrike Beacon IOCs 03a8efce7fcd5b459adf3426166b8bda56f8d8439c070b620bccb85a283295f4 e4dd5fc22ff3e9b0fa1f5b7b65fb5dfeac24aab741eee8a7af93f397b5720f4a d011a846badec24a48a50d1ab50f57d356b9dd520408cbb3361182f6f0489a1e 0a566a0ddbaf9975221fe842b9b77c4a8b5d71bb2c33e0a46da26deec90dcbea 61cd1311d2e4663b86b5a70c2aafd5af6b247a6ebf407170296e37aaf8c69392 |
1.3 Beltalowda
Beltalowda é uma ferramenta do Red Team baseada em um utilitário de open-source, SeatBelt. O SeatBelt conduz uma variedade de “verificações de segurança” orientadas para a segurança, tanto do ponto de vista de segurança ofensivo quanto defensivo, relacionadas à pesquisa do host.
| Beltalowda / SeatBelt IOCs d80b7a31d68b5f483073ff7af0984c1090f6a493f84db7d3a301e3e35fdb4a56 7b7cbb1a62faf7e7a9ee1d0254c5681779b61abd3c9763b6588857c14cccdd9b 8f991317f1473fa8af3c3d6ade2551ddac01425db6e7b0c718b81c324c43730d 1d841ff51f8b5b08d7b4752cd498108d4b3f82864257dbd8e35b097c766f9e24 29054e2cad080a61db11a61791206ea939cbf79abee71c44fa0e7603dd168840 dea11a5bc6ff271e40e477d1645bdeb19454bdd8eac077e598ca56ee885fc06e b89158aeac0e98f7cc2a6c3040ad2f57093bdb9064eab2c585c1250d5efa850e 00d1726e2ba77c4bed66a6c5c7f1a743cf7bb480deff15f034d67cf72d558c83 5cacbf4e84027cb3c0ec55940dddee6f4d368aae778d635003cb3013b547ede0 bb939544ac109ca674ee9de4d8b292f9b117c9c676ddab61d15a6e219ad3986c |
1.4 Dtrim
Dtrim é uma versão modificada do SharpSploit, que é uma biblioteca pós-exploração .NET de open-source escrita em C #. SharpSploit portou módulos de estruturas de pós-exploração do PowerShell como PowerSploit e outras ferramentas como Mimikatz.
1.5 EWS-RT
O EWS-RT é baseado em uma ferramenta PowerShell de open-source, RT-EWS, que é um par de cmdlets que aproveitam a API EWS (Exchange Web Services) para executar tarefas específicas de enumeração e exploração em servidores Microsoft Exchange, incluindo Office365 e outros servidores de premissa.
1.6 Fluffy
Fluffy é uma versão modificada do Rubeus, que é um kit de ferramentas C # de open-source para interação e abusos do Kerberos. Os Red Teams usam Rubeus para ataques Kerberoasting e extração de tickets Kerberos.
| MITRE ATT&CK Techniques T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting |
| Fluffy IOCs (SHA1) 8bebf19d54c749560301eaada2e92eb240501b8c |
1.7 G2JS
G2JS (GadgetToJScript) é uma ferramenta de open-source para gerar gadgets serializados .NET que podem acionar o carregamento e a execução do assembly .NET quando desserializado usando BinaryFormatter de scripts JS, VBS e VBA. G2JS foi criado principalmente para automatizar o armamento de scripts do Microsoft Windows Script Host (WSH) durante engajamentos o Red Team.
| MITRE ATT&CK Techniques T1059.005 Command and Scripting Interpreter: Visual Basic T1059.007 Command and Scripting Interpreter: JavaScript/Jscript |
| G2JS IOCs (SHA256) dcce258cc818febe2b888c8eee42aa95393b2fb4f1f2406330840ab8ad5c7d50 A3a8dedf82741a1997b17a44fbb1e5712ba3a5db11146519cf39281def9329a7 eed9402cb6fdc047b12f67493ba10970155a00086918eaad9542ab24096cc715 398afc4c33e00b26466abb87668e33be766dbbf4c493fe04d180a14d14a32fa3 da3bdb6b9348a8d9328e669c744d0f21a83937c31894245e3157121342efe52c cdabbe815b7aafa94469b97fa3665137c4d5b2da4fdd7648ba2851cf2df214fc f8c8bb2ac03cc2a037ddde4ad175aa05aa80277483fcdac42627fbdcc36f64ba fd2e546faed7426c448d1a11d8e1d4b8a06b5148c9c8dfa780338fac2ab53c5b 0b8eab0a1961c52c141ac058c11e070d724d600cf903f2457c8ed189e7aae047 117b9c9127beaf2e3ce7837c5e313084fd3926f1ebf1a77563149e08347cb029 |
1.8 ImpacketObf
ImpacketObf (ImpacketObfuscation) é uma coleção de utilitários Impacket ofuscados. Impacket é uma coleção de classes Python de open-source para trabalhar com protocolos de rede.
1.9 ImpacketOBF (SMBExec)
Esta ferramenta é baseada na ferramenta smbexec.py do Impacket.
1.10 ImpacketOBF (WMIExec)
Esta ferramenta é baseada na ferramenta wmiexec.py do Impacket.
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation |
1.11 InveighZero
InveighZero é um spoofer de open-source e uma ferramenta de ataque man-in-the-middle (MitM) projetada para auxiliar red teamers e testadores de penetração. Ele pode falsificar os protocolos LMNR, NBNS, mDNS, DNS e DHCPv6.
| MITRE ATT&CK Techniques T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay |
| InveighZero IOCs (SHA256) 78fafeb22bf31de02a4b56114e86dcc3394e382658a5c95b1a302d3d8794718d 2728c46f4fcf62f3faee72be30f1dd75528391b0d70da302544f5282d58c931b 715b415647f33937b39aa072001bfb9857a4bea884d009cbe0c27f1422b9f55b 452c6651e79d9f69a55e711c0b4d70eb2b1aaac206b8a274e45d22f9d7cafd2c 50c4f46e43d30c9520be35e294ef98d81f81d60602cd659367bbcf6a91766c0f a66f3a9ddf9343aeed40276c1abfc485f089050074a03801cd9a16787a39c6bf 0c080548e15e7f377baed2a550d48a555e6150d969f7f4b8244c3b3a50afb858 |
1.12 KeeFarce
KeeFarce é uma ferramenta de open-source que extrai informações do banco de dados de senhas do KeePass 2.x da memória. Ele usa injeção de DLL para executar código dentro do contexto de um processo KeePass em execução.
| MITRE ATT&CK Techniques T1555.001 Process Injection: Dynamic-link Library Injection |
| KeeFarce IOCs (SHA256) 5ea9a04284157081bd5999e8be96dda8fac594ba72955adacb6fa48bdf866434 |
1.13 NetAssemblyInject
Esta ferramenta injeta assemblies C # .NET em processos arbitrários do Windows. É baseado em uma ferramenta de código aberto, NET-Assembly-Inject-Remote.
1.14 NoAmci
NoAmci é uma ferramenta de open-source que usa DInvoke para corrigir AMSI.dll e ignorar detecções de AMSI (Windows Antimalware Scan Interface).
1.15 PuppyHound
O PuppyHound é uma versão modificada de uma ferramenta de open-source, SharpHound. É o coletor de dados C # para o Projeto BloodHound
| PuppyHound / SharpHound IOCs (SHA256) 23490f7ac40b6b15c228ed8f8e9122d460469aa4025ed7008660e4310ef7e70f a7240d8a7aee872c08b915a58976a1ddee2ff5a8a679f78ec1c7cf528f40deed 5fabe36fb1da700a1c418e184c2e5332fe2f8c575c6148bdac360f69f91be6c2 7b0a7e5d344f8ffa1a097cd9e658ecaa551fd84cfcc92a5fe46f9965661662cc e9e646a9dba31a8e3debf4202ed34b0b22c483f1aca75ffa43e684cb417837fa a07002c5d7712e751dfbcab1f05190793eb417b693b61f8ba0750fa15f88f61b 0d9fbc16c6f316d8ee1b9ff47b300c24a1964fdfc3990b680d05dab5e1905d9f ee72671628902e2cd75fde74b7926355b39d1ab50be0aa8bc06e8f06344fc22c 36d4e69106bc8530d7923442d1929558b876f7f10545316623ae3db1b93ec584 e333444d815055181402f5fdbf60a62c4545e64f3e382c7685b47b7b5a6c27e8 |
1.16 Rubeus
Rubeus é um kit de ferramentas C # de open-source para interação e abusos do Kerberos. Os Red Teams usam Rubeus para ataques Kerberoasting e extração de tickets Kerberos.
| MITRE ATT&CK Techniques T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting |
| Rubeus IOCs (SHA256) a729d51f3deff5065e4978df2f88517d26e0d5db542c9cf8501a4206d8d2432c 9758688dd18db6ec86c4835d9ba67b5e209c32c81981dc69d705670f8b95d5e6 0340043481091d92dcfb2c498aad3c0afca2fd208ef896f65af790cc147f8891 76faeb790d1c1aa5fd3473f86f602b371682415368ddd553ebc60eb3c7683f7f 0097d59dc02cbac14df25ef05fc6d75f835d1db68f760d71fa4a0a57d9960606 c74352729dd49829f5e398a7fc7dd033d9e4aba3d93162c4fbcbe394cc31c3d4 9c6a910a047e29e07b4015866dc05e00829b888a86d1d357ed49652a9b73f1b6 6c1829be1c49c04b956b431386c389a6bf83327a5e7e68ff453103820ad4464d 817867c23a7bf47e99c93201f99f5eb805396327765aa76338c5f9e0c89eac4a 65044ea9fea1e34042adf3ff5e5fb17fc021ba4b0775415fad2465558a782c5e |
1.17 SafetyKatz
SafetyKatz é uma combinação de Mimikatz e .NET PE Loader. Ele cria um minidespejo de LSASS e usa PELoader para carregar uma versão customizada do Mimikatz para despejo de credencial.
| MITRE ATT&CK Techniques T1003.001 OS Credential Dumping: LSASS Memory |
| SafetyKatz IOCs (SHA256) 2b3cab071ca6f104377a7684eb586150fdec11df2dc8cebcb468f57a82f10c73 89a456943cf6d2b3cd9cdc44f13a23640575435ed49fa754f7ed358c1a3b6ba9 3547d857af012c643a75bd3c1d3226c98e8181dc6e92872eb0746b26f6cc1a09 d1d3b00e8be37b30abfe2ff2aca90073ae517a27635a9fbb2e222981cf1ae817 796f70f7e01257c5b79e398851c836e915f6518e1e3ecd07bcd29233cf78f13d bcf1857fe1eb566c0dbd032f7ec186bc1a31895861ac36887ad034501794fd00 4542ebba83ef6e16db6dc30383614bf52cb7c3f2fbd1577de10f02d6bf7dfc50 291a6968a3f7f2092c656d0275c604182d6f7ee7b813460aeb8b28c06d804b5e b0a55532654bbfd0aafa59dfe26b576a095d9ac4a4af2f99bca442a1d87ce29b 27dd261ad7f3ad7d782625c2a459caf6ae81109ffe8f830b68b154f02d578658 |
1.18 SharpUtils
É uma coleção de open-source de utilitários red team escritos em linguagem C #.
1.19 SharpZeroLogon
É um exploit de open-source para a vulnerabilidade Zerologon (CVE-2020-1472). Ele explora a vulnerabilidade criptográfica no Netlogon para contornar a autenticação.
| SharpZeroLogon IOCs (SHA256) c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d 24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439 7a05fd67e9344d27c90a7196ab32cbaf1ee8c14f8655e87cc3ebddca7eacebdf eec19dd96f08c4b6c61e079cbff058bb79d928a3c3dd01b397222a3f5bfe2dd9 fa032802537b61f0e5f3645229a0758114b0c00ddc95273efba7a17ed18e2e00 10ed27a6dad3793933262c0a0b4ec1837c7127cde872acf23e4c42a8ecfd9109 7bcf833ab795b3a2cbd5df2e8caf5d664534b4623d0864dda73222dc47c56ec7 |
1.20 TitoSpecial
TitoSpecial é baseado em uma ferramenta de open-source AndrewSpecial, que rouba credenciais. Ele despeja credenciais da memória LSASS. Explicamos essa técnica em nosso blog Credential Dumping.
| MITRE ATT&CK Techniques T1003.001 OS Credential Dumping: LSASS Memory |
| TitoSpecial / AndreSpecial IOCs (SHA256) 7bcf833ab795b3a2cbd5df2e8caf5d664534b4623d0864dda73222dc47c56ec7 |
1.21 TrimBishop
Esta ferramenta é baseada em uma ferramenta de open-source, Rural Bishop.
| TrimBishop / RuralBishop IOCs (SHA256) 38e7e5250287542688b12e216d9b25388061decde2f7255969a7a914cda0faf4 60247aa54635a0788f636aeab9752cc4e83ba4ae3ec336f60e01ab8dec856a05 7127e4b634f2bf6b9965d183c3dd61540ed4e08c4d60123da44892cf509cfe94 f821c3b8274d69e6948dea823682d16be0b23da3ea5363d6ffa0ea05e8654c05 b40c8fcb20acf66db418078f0d6099145b220dc056d095beb54665faf6c726c7 |
2. Ferramentas baseadas em Built-in Windows Binaries
Essas ferramentas usam built-in Windows binaries, conhecidos como LOLBINs (Living Off The Land Binaries).
2.1 DueDLLigence
DueDLLigence é um framework runner de shellcode publicado anteriormente pela FireEye. O Red Teams usa-o para ignorar a lista de permissões de aplicativos e carregamento lateral de DLL. Ele utiliza os built-in Windows Control.exe (Painel de Controle do Windows), Rasautou.exe (Discador de Acesso Remoto) e msiexec.exe (Executável do Microsoft Installer) para ignorar os aplicativos.
| MITRE ATT&CK Techniques T1218.002 Signed Binary Proxy Execution: Control Panel T1218.007 Signed Binary Proxy Execution: Msiexec |
| DueDLLinge IOCs (SHA256) 9ff0c4211b7e0b6b9789c4a8576a5e2d1085ca729047a97518f46073ba558956 bcbc2f9367a909de763dca4d46d8328b65593df72abb5e61d2b8b104245f4814 df50e66c9f384a5ff9e3b23272677f3cc2962759947bffbfb905a12f21fd7a3d 71227bc1534a092ba03e6374cad929b193d1f6667cb781efd059b7d7d8e09c1d aac1cd7e70f87d29504a017c7c1fe4ad276980d624d1f3651565cada52a37031 |
2.2 MSBuildMe
Esta ferramenta red team é baseada no MSBuild (Microsoft Build Engine), que é uma plataforma para construção de aplicações. É usado para compilar e executar código e ignorar o Application Whitelisting (AWL).
| MITRE ATT&CK Techniques T1127.001 Trusted Developer Utilities Proxy Execution: MSBuild |
2.3 NetshShellCodeRunner
Essa ferramenta é baseada no Netsh.exe, que é uma ferramenta do Windows usada para manipular as configurações da interface de rede. Netsh.exe é usado por adversários e red teams para executar um arquivo .dll.
| MITRE ATT&CK Techniques T1546.007 Event Triggered Execution: Netsh Helper DLL |
2.4 Uncategorized
Esta é uma coleção de ferramentas que utilizam os built-in Windows binaries dism.exe, searchprotocolhost.exe e werfault.exe para injeção de processo.
| MITRE ATT&CK Techniques T1055 Process Injection |
2.5 Weaponize
Esta ferramenta usa o built-in Windows binaries TSTheme.exe (TSTheme Server Module).
3. Ferramentas desenvolvidas In-House pelo Red Team da FireEye
Essas ferramentas são desenvolvidas especificamente para o uso do Red Team da FireEye.
3.1 DShell
A ferramenta DShell red team é um backdoor escrito na linguagem de programação D. Sua carga útil é codificada no formato Base64. De acordo com as funções do Windows usadas pelo DShell, achamos que ele usa a técnica de injeção de processo para injetar sua carga em um processo legítimo.
| DShell IOCs (SHA256): 747941f972e786f9a93c809247dc776d1fe348e004b1c087683756ae48acfdfe 4647ead22996882f3e17104040605473309f460d4f8d00f07395de89d81a039c a6834eb32f20a52786ce1c5e99b94baec4d251414a97ca4717b2b06c88340a4b 2b4d48aac9c6885f50f5f95c10385aa10f7de9c8f393e64777b544e8fae8c95b 5e53ce8f7f5f0b9c85bcb15becc5ae4ce9f8fc01504e76deaafbf70ffa1cda9d 6500e845c478dc26d950b913da2fb85d6b180275827737062f23c8671b2cbd0e c32514711f72002e9a540c2434dee7b239485d01a95a7530b939fed43f277f6d 77dedb037985896646ee3a65687dca17f669750133893209ea765c991a2c39a0 0c55581575708818bd5b58cd9647f1112f97a921f36227d4fe512e710e0a0dbf 225d4be8f66361b82dd89fc14496a1ebe37049c1930672dde2ccb6aab068aff1 |
3.2 Excavator
Essa ferramenta do red team pode despejar um processo diretamente ou por meio de seu serviço. É usado por red teams para despejar credenciais da memória LSASS.
| MITRE ATT&CK Techniques T1003.001 OS Credential Dumping: LSASS Memory |
| Excavator IOCs (SHA256): efb533249f71ea6ebfb6418bb67c94e8fbd5f2a26cbd82ef8ec1d30c0c90c6c1 27a5e3795e150eb9d3af99a654be7d9a684983c0bbccc9ba0b4efa4301404760 31d06aa9ceb13c28b6af76d6b5cc33dc14c59e4496c9265cee60cbad3d89b863 |
| 3.2 Excavator Excavator IOCs (SHA256) kutusu altına:Picus Threat Library 470104 Excavator (FireEye) Infostealer .DLL File Download Variant-1 |
3.3 GetDomainPasswordPolicy
É uma ferramenta de reconhecimento que obtém a política de senha para um domínio Active Directory.
3.4 GPOHunt
É uma ferramenta de reconhecimento que recupera configurações de Diretiva de Grupo.
3.5 KeePersist
É uma ferramenta desenvolvida internamente para o Red Team da FireEye que é usada para persistência.
3.6 LNKSmasher
LNKSmasher é uma ferramenta que gera arquivos .LNK maliciosos. LNK é um formato de arquivo usado para arquivos de atalho que apontam para um arquivo executável. Esta ferramenta de red team pode incorporar uma carga arbitrária em um arquivo LNK.
| MITRE ATT&CK Techniques T1547.009 Boot or Logon Autostart Execution: Shortcut Modification T1204.002 User Execution: Malicious File |
3.7 LuaLoader
LuaLoader é uma ferramenta do red team que pode carregar códigos arbitrários escritos na linguagem Lua. É uma ferramenta desenvolvida internamente para o red team da FireEye.
3.8 Matryoshka
Matryoshka é uma ferramenta escrita na linguagem de programação Rust. É uma ferramenta de vários estágios. Depois de baixar a carga útil do primeiro estágio, ele executa o malware do segundo estágio por meio de seu dropper e instala a carga real. Ele usa a técnica de esvaziamento do processo para escapar das defesas.
3.9 MemComp
A ferramenta MemComp é usada para compilação na memória.
3.10 MOFComp
MOFComp (MOF Compiler) é uma ferramenta embutida do Windows que analisa um arquivo contendo instruções MOF (Managed Object Format) e adiciona as classes e instâncias de classe definidas no arquivo para o repositório WMI (Windows Management Instrumentation).
| MITRE ATT&CK Techniques T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription |
3.11 PGF
PGF é uma estrutura de desenvolvimento backdoor que utiliza vários LOLBINs, como Netsh, InstallUtil, Regasm, RunDLL32, Control e Cstmp.exe.
| MITRE ATT&CK Techniques T1218.001 Signed Binary Proxy Execution: Compiled HTML File T1218.002 Signed Binary Proxy Execution: Control Panel T1218.003 Signed Binary Proxy Execution: CMSTP T1218.004 Signed Binary Proxy Execution: InstallUtil T1218.005 Signed Binary Proxy Execution: Mshta T1218.007 Signed Binary Proxy Execution: Msiexec T1218.008 Signed Binary Proxy Execution: Odbcconf T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm T1218.010 Signed Binary Proxy Execution: Regsvr32 T1218.011 Signed Binary Proxy Execution: Rundll32 T1216.001 Signed Script Proxy Execution: PubPrn T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control T1036.005 Masquerading: Match Legitimate Name or Location T1055 Process Injection T1574.002 Hijack Execution Flow: DLL Search Order Hijacking T1574.002 Hijack Execution Flow: DLL Side-Loading |
| PGF IOCs (SHA256) 1208a9fcee5cf7522676427a7b8ceb6d49f7fcb6295f759b8cda0c3b3066a7e1 a0d5f287b9b3c0f540d5a59db423b86776a81181f81e14082d7b72ac1d99f8ea 86313ef291ebc5905837f16a8a99992550f986feca21fdc40f554b674c7298f7 1a9d041c82423805bc01b4cb1f5c20c5d58ebc4b525fd88553803a2f148ebd8d ebc16780fe7083af5a9e143b56e0a791115f8b37b83f1bad5bab4828623e1224 032d1aa450227df5d23cc304009ad2db48b33e78191f464a1acc101807845aa7 65e7006479b5be1d094047a201da9a83e3ed424835752c62534bac32a9f3153b 24e37e197bdbabf8a2bc63e0776e82c00a440febe171ec1e648f024338c0871c e1a42ea65004088638bd06353c14f85dcb0030e9fb6975425c6916d8f4f36dd3 304ee129a947706c6436d89215034332554cbb30cde833ce1d368d5b4b97eb3b |
3.12 PXELoot
É uma ferramenta do red team que descobre e explora configurações incorretas no Windows Deployment Services (WDS).
3.13 RedFlare
RedFlare é uma estrutura de desenvolvimento de Trojan que inclui builder, controlador, downloader e keylogger. Ele pode gerar cavalos de Troia para sistemas Windows e Linux.
| RedFlare IOCs (SHA256): 037a51ea69153ce7044f85bb11d54f825b9fed904dac1b7c3f505c50cc8a43ab 42192e9df6321af2a1039a2353f1abe2aa53174582c7623cb1e42c9accc24720 11ddfdf2f102cb1518c0dc8d9021d8c16c9da3ae1b99ff3abc77467e7709ef23 dd5157b908d14f09cedc7ce687056a57a883fd796624e42f731c57630d7b43b4 34acd86d85b018feecc9adcd7985f15678306f518c21fcd6b34d62b27521fea5 4b3629ff14f5dc465d628cadc2f0c0b7503979078b1f9559fc35f6b0b1c7299d 7ecb85692b45c28300144c1451ef9e94cdd1964f40cd809e4b9b423581b2843e 9033aff8650ff5236b696561f7b0546581c74d715301a22584fdfca59ec444a2 68e376573d59d8f4e626d34df4ed8c16bae409fd95ca5f7215c9e483422ea429 8118b4c86db92483bf20e466f3ff664a4ea25e728a480282b498e95673bbb4f5 546a7635330fdefc2a084483eb2a43187d302de5bdfbe7a36364f8ed019f8f36 914cb1bcb371622923ac70bea30eb9bd6ff6f75c189d110de0be6adc30002157 28d9875c987188f940606459fd9b9dd65df224dfeb31e552e5b564a71b1eb7ce ed2898dbbb1c9f3ba50adb64d17b1ce4ab31b3b0b8e18160ec6b6800f3922f9b 312ca68ff36542efe4f4b545230fc579269b477ec59f735081f395a5094c55c2 |
3.14 RedFlare (GoRAT)
GoRAT é um RAT (Trojan de acesso remoto) escrito na linguagem de programação Golang.
| GoRAT IOCs (SHA256) 1381107c1f473b3dce170356158be445afc76ec3c0661d8429ef1f5a591e76f0 39845d02f72d83ef342b62b7348776d44cdb3eb6416b83ea2167b301d306cd58 |
3.15 ResumePlease
É um modelo de malware de macro do Microsoft Office que inclui códigos VBA (Visual Basic for Application) maliciosos.
| ResumePlease IOCs (SHA256) 1866449e8ad2c55240eafdf14fc835138ca3e99a7b180c2150cef047868f56cc a841a86fe10e11ced850a471cc3256e37d9435e292cac2a9c00f55592b2bf0de |
3.16 SharPersist
É um kit de ferramentas de persistência do Windows escrito em C # para FireEye Red Team. Ele fornece persistência por meio de vários métodos, como modificar as chaves de execução do registro, adicionar carga útil à pasta de inicialização e adicionar uma nova tarefa agendada que é executada a cada inicialização.
| MITRE ATT&CK Techniques T1112 Modify Registry T1546.015 Event Triggered Execution: Component Object Model Hijacking T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1047 Windows Management Instrumentation T1053.005 Scheduled Task/Job: Scheduled Task |
| SharPersist IOCs (SHA256) e9711f47cf9171f79bf34b342279f6fd9275c8ae65f3eb2c6ebb0b8432ea14f8 455aab141cc9945899c9838b187251c7f647470d827a1d4ce8e833f04a6dd386 68c3388de07d92023490fb47caf1b6f92556959f2267cc3b3d2fcd5018cd3d72 0a443ea08c23991d229ee89a92bc23f959e17819027bb71f6267a7dfeeb9793d 4c3d4cbeec3d722929d86c0bf19108b3eac090fc5dc8fcde2cf818ff16e6fc5b |
3.17 SharPivot
SharPivot é um aplicativo de console .NET. Esta ferramenta de red team executa comandos em um alvo remoto para movimento lateral, utilizando DCOM (Distributed Component Object Model)
| MITRE ATT&CK Techniques T1021.003 Remote Services: Distributed Component Object Model T1559.001 Inter-Process Communication: Component Object Model T1059.003 Command and Scripting Interpreter: Windows Command Shell |
3.18 SharpSchTask
É uma ferramenta de persistência escrita em C # que utiliza o recurso de tarefa agendada do Windows.
| MITRE ATT&CK Techniques Scheduled Task/Job: Scheduled Task |
3.19 SharpStomp
SharpStomp é um utilitário C # que pode ser usado para modificar a criação, o último acesso e a hora da última gravação de um arquivo. Em outras palavras, é uma ferramenta de timestomping.
| MITRE ATT&CK Techniques T1070.006 Indicator Removal on Host: Timestomp |
3.20 SinfulOffice
Esta ferramenta é usada para criar documentos maliciosos do Microsoft Office usando o recurso OLE (Object Linking and Embedding).
| SinfulOffice IOCs (SHA256) 4c5e5e172d233680fee184643b4b79dbf1f97674807c7e40bcfaac8675016c0d a099840e55c6d813db791842efb1512e401af03e4fd9e285b6e906b615cc477a |
3.21 WildChild
WildChild é uma ferramenta de construção usada para criar arquivos HTA (HTML Application) maliciosos. O Microsoft HTML Application Host (Mshta.exe) executa arquivos HTA.
| MITRE ATT&CK Techniques T1218.005 Signed Binary Proxy Execution: Mshta |
3.22 WMIRunner
Esta ferramenta é usada para executar comandos WMI.
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation |
3.23 WMISharp
Esta ferramenta inclui comandos WMI usados em compromissos do Red Team.
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation |
3.24 WMISpy
A ferramenta WMISpy usa várias classes WMI, como Win32_NetworkLoginProfile, MSFT_NetNeighbor, Win32_IP4RouteTable, Win32_DCOMApplication, Win32_SystemDriver, Win32_Share e Win32_Process para reconhecimento e movimento lateral.
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation T1021.003 Remote Services: Distributed Component Object Model |
4. Ferramentas sem dados para analisar
As regras Yara publicadas pela FireEye para as seguintes ferramentas são específicas para o ProjectGuid da ferramenta. Esperamos que a FireEye publique contramedidas mais detalhadas sobre essa ferramenta.
4.1 AllTheThings
4.2 CoreHound
4.3 Justask
4.4 PrepShellCode
4.5 Revolver
4.6 SharpGenerator
4.7 SharpGrep
4.8 SharpSack
4.9 SharpSectionInjection
4.10 SharPy
Referências
[1] “LOLBAS.” [Online]. Available: https://lolbas-project.github.io. [Accessed: 09-Dec-2020]
[2] “APT29.” [Online]. Available: https://attack.mitre.org/groups/G0016/. [Accessed: 10-Dec-2020]
[3] E. Nakashima and J. Marks, “Spies with Russia’s foreign intelligence service believed to have hacked a top American cybersecurity firm and stolen its sensitive tools,” The Washington Post, The Washington Post, 08-Dec-2020 [Online]. Available: https://www.washingtonpost.com/national-security/leading-cybersecurity-firm-fireeye-hacked/2020/12/08/a3369aaa-3988-11eb-98c4-25dc9f4987e8_story.html. [Accessed: 10-Dec-2020]
[4] fireeye, “fireeye/red_team_tool_countermeasures.” [Online]. Available: https://github.com/fireeye/red_team_tool_countermeasures. [Accessed: 10-Dec-2020]
[5] “[No title].” [Online]. Available: https://raw.githubusercontent.com/fireeye/
red_team_tool_countermeasures/master/rules/
ADPASSHUNT/production/yara/
APT_HackTool_MSIL_ADPassHunt_2.yar. [Accessed: 09-Dec-2020]
[6] Chris and V. my C. Profile, “GPP Password Retrieval with PowerShell.” [Online]. Available: http://obscuresecurity.blogspot.com/2012/05/gpp-password-retrieval-with-powershell.html. [Accessed: 09-Dec-2020]
[7] PowerShellMafia, “PowerShellMafia/PowerSploit.” [Online]. Available: https://github.com/PowerShellMafia/PowerSploit. [Accessed: 09-Dec-2020]
[8] “Beacon Covert C2 Payload – Cobalt Strike.” [Online]. Available: https://www.cobaltstrike.com/help-beacon. [Accessed: 09-Dec-2020]
[9] GhostPack, “GhostPack/Seatbelt.” [Online]. Available: https://github.com/GhostPack/Seatbelt. [Accessed: 09-Dec-2020]
[10] cobbr, “cobbr/SharpSploit.” [Online]. Available: https://github.com/cobbr/SharpSploit. [Accessed: 09-Dec-2020]
[11] med0x2e, “med0x2e/RT-EWS.” [Online]. Available: https://github.com/med0x2e/RT-EWS. [Accessed: 09-Dec-2020]
[12] GhostPack, “GhostPack/Rubeus.” [Online]. Available: https://github.com/GhostPack/Rubeus. [Accessed: 09-Dec-2020]
[13] “Steal or Forge Kerberos Tickets: Kerberoasting.” [Online]. Available: https://attack.mitre.org/techniques/T1558/003/. [Accessed: 09-Dec-2020]
[14] med0x2e, “med0x2e/GadgetToJScript.” [Online]. Available: https://github.com/med0x2e/GadgetToJScript. [Accessed: 09-Dec-2020]
[15] SecureAuthCorp, “SecureAuthCorp/impacket.” [Online]. Available: https://github.com/SecureAuthCorp/impacket. [Accessed: 09-Dec-2020]
[16] denandz, “denandz/KeeFarce.” [Online]. Available: https://github.com/denandz/KeeFarce. [Accessed: 09-Dec-2020]
[17] Kevin-Robertson, “Kevin-Robertson/InveighZero.” [Online]. Available: https://github.com/Kevin-Robertson/InveighZero. [Accessed: 09-Dec-2020]
[18] med0x2e, “med0x2e/NET-Assembly-Inject-Remote.” [Online]. Available: https://github.com/med0x2e/NET-Assembly-Inject-Remote. [Accessed: 09-Dec-2020]
[19] med0x2e, “med0x2e/NoAmci.” [Online]. Available: https://github.com/med0x2e/NoAmci. [Accessed: 09-Dec-2020]
[20] BloodHoundAD, “BloodHoundAD/SharpHound3.” [Online]. Available: https://github.com/BloodHoundAD/SharpHound3. [Accessed: 09-Dec-2020]
[21] BloodHoundAD, “BloodHoundAD/BloodHound.” [Online]. Available: https://github.com/BloodHoundAD/BloodHound. [Accessed: 09-Dec-2020]
[22] GhostPack, “GhostPack/SafetyKatz.” [Online]. Available: https://github.com/GhostPack/SafetyKatz. [Accessed: 09-Dec-2020]
[23] IllidanS, “IllidanS4/SharpUtils.” [Online]. Available: https://github.com/IllidanS4/SharpUtils. [Accessed: 09-Dec-2020]
[24] nccgroup, “nccgroup/nccfsas.” [Online]. Available: https://github.com/nccgroup/nccfsas. [Accessed: 09-Dec-2020]
[25] rasta-mouse, “rasta-mouse/RuralBishop.” [Online]. Available: https://github.com/rasta-mouse/RuralBishop. [Accessed: 09-Dec-2020]
[26] fireeye, “fireeye/DueDLLigence.” [Online]. Available: https://github.com/fireeye/DueDLLigence. [Accessed: 09-Dec-2020]
[27] ghogen, “MSBuild.” [Online]. Available: https://docs.microsoft.com/en-us/visualstudio/msbuild/msbuild. [Accessed: 09-Dec-2020]
[28] “Process Injection: Process Hollowing.” [Online]. Available: https://attack.mitre.org/techniques/T1055/012/. [Accessed: 09-Dec-2020]
[29] stevewhims, “mofcomp.” [Online]. Available: https://docs.microsoft.com/en-us/windows/win32/wmisdk/mofcomp. [Accessed: 09-Dec-2020]
[30] fireeye, “fireeye/SharPersist.” [Online]. Available: https://github.com/fireeye/SharPersist. [Accessed: 09-Dec-2020]
[31] SolarWinds, SolarWinds Security Advisory, https://www.solarwinds.com/securityadvisory [Accessed: 14-Dec-2020]
[32] Reuters, Technology News, https://www.reuters.com/article/us-usa-solarwinds-cyber-idUSKBN28N0Y7 [Accessed: 14-Dec-2020]
[33] Artigo publicado pela Picus Security: Tactics, Techniques and Procedures (TTPs) Utilized by FireEye’s Red Team Tools (picussecurity.com)
