FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)

  • A+
所属分类:安全新闻

原文来自Picus安全的博客,略有修改。

FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)


摘要

在本文中,我们分析了从FireEye Red Team军火库中盗取的60种工具,以了解此漏洞的影响。我们发现:

  • 43%的被盗工具是使用已知攻击技术的公开可用工具。

  • FireEye内部开发了40%的工具。这些工具利用了已知的对抗技术。

  • 由于FireEye没有共享有关这些工具的足够详细信息,因此无法识别17%的被盗工具。根据它们的名称,我们认为这些未知工具中的大多数也都是公开可用工具的略微修改版本。

FireEye漏洞中的被盗工具和攻击利用已知的攻击技术。我们的分析表明,这种违规行为不会对组织产生重大影响。但是,仍应针对被盗工具采取对策,因为攻击者可能会使用它们。


被盗的红队工具

FireEye尚未分享有关被盗的红色团队工具做什么的详细信息。Picus LabsRed and Blue Team分析人员分析了这些被盗用的工具,以揭示这些工具的功能和可能的影响。

我们将这些工具分为四类:

  1. 基于开源项目的工具:这些红色团队工具是开源工具的略微修改版本。

  2. 基于内置Windows二进制文件的工具:这些工具使用称为LOLBIN[1]的内置Windows二进制文件。

  3.  Fireeye内部自研Red Team开发的工具:这些工具是专门为FireEyeRed Team使用而开发的。

  4. 没有足够数据进行分析的工具:没有足够的数据来分析这些工具。FireEye针对以下工具发布的Yara规则特定于该工具的ProjectGuid

下图显示了根据上述类别被盗的红色团队工具的分布。

FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)

被盗的漏洞

除了红色团队工具外,还存在受事件影响的漏洞payloadpayload泄漏会利用以下漏洞。根据FireEye的报告,泄漏的payload不包括0day漏洞利用。

CVE编号

漏洞类型

CVE-2014-1812

特权提升

CVE-2016-0167

特权提升

CVE-2017-11774

远程执行代码

CVE-2018-13379

预认证任意文件读取

CVE-2018-15961

远程执行代码

CVE-2019-0604

远程执行代码

CVE-2019-0708

远程执行代码

CVE-2019-11510

预认证任意文件读取

CVE-2019-11580

远程执行代码

CVE-2019-19781

远程执行代码

CVE-2019-3398

认证的远程执行代码

CVE-2019-8394

预认证任意文件上传

CVE-2020-0688

远程执行代码

CVE-2020-1472

特权提升

CVE-2018-8581

特权提升

CVE-2020-10189

远程执行代码

下图显示了根据漏洞类型的漏洞分布:

FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)


嫌疑犯

FireEye经常与俄罗斯的威胁团体打交道,是一家与APT团体和国家赞助的威胁团体作战的网络安全公司。根据《华盛顿邮报》的报道,APT29(也称为YTTRIUMThe DukesCozy BearCozyDuke[2]实施了此次针对FireEye的破坏[3] 但是,这里没有证据证明这一点。


蓝队建议

Picus Labs的蓝色小组准备了一系列建议,以防止和检测被盗的工具和漏洞。

1. 缓解漏洞

使用漏洞扫描和监视工具,针对上一节中列出的漏洞进行系统评估。如果您尚未修补,则必须修复它们,并应检查它们是否在系统中被滥用。

2. 危害评估

您可以使用FireEye[4]发布的Yara规则对系统进行危害评估。要利用Yara规则,您可以使用开源的Yara扫描工具或企业产品并将其分发到系统上的端点,然后添加规则并获得结果。此外,您可以使用Yara规则中包含的IoC,并在您的SIEM环境中搜索它们。

3. 利用IOC

为了防止和检测将来的相关威胁,您可以将此报告中提供的IOC添加到您的安全产品中,例如EDREPPSIEM。但是,请记住,对手可以轻松更改这些IoC

4. 利用Snort规则

多数网络安全产品都支持Snort规则。您可以将已发布的Snort规则添加到安全设备[4]。如果您已经在使用Snort,则可以检查当前规则是否最新。

5. 更新您的安全产品

安全供应商正在发布新的签名和规则集,其中包括针对被盗工具的对策。更新您的安全产品及其规则和签名集。

6. 使用OpenIOC进行搜索

FireEyeOpenIoC格式发布了一些对策。您可以使用IoC编辑器开发检测和搜寻规则,将这些规则添加到安全设备中。



工具的详细分析

1. 基于开源项目的工具:

这些红色团队工具是基于开源工具稍作修改的版本。

1.1 ADPassHunt

这是一个凭证窃取工具,用于搜寻ActiveDirectory凭证。该工具的YARA规则[5]中有两个引人注目的字符串:Get-GPPPasswordsGet-GPPAutologonsGet-GPPPassword 是一个PowerShell脚本,用于检索通过组策略首选项(GPP[6]推送的帐户的明文密码和其他信息。Get-GPPAutologons 是另一个PowerShell脚本,可从通过GPP推送的自动登录条目中检索密码。这些脚本在PowerSploit中用作功能,PowerSploit是将PowerShell模块和脚本结合在一起的进攻性安全框架[7] 。您可以阅读我们的博客文章查找有关OS凭证转储技术的更多信息。

MITRE ATT&CK Techniques 
T1003.003 OS Credential Dumping: NTDS 
T1552.06 Unsecured Credentials: Group PolicyPreferences



1.2 Beacon

这个红队工具基于Cobalt Strike BeaconBeaconCobalt Strikepayload,用于实现多个控制目标,如持久性,执行,特权提升,凭证转储,横向移动以及通过HTTPHTTPSDNSSMBTCP协议进行命令和控制(C2)通信。根据FireEye发布的对策,Beacon使用HTTPHTTPSDNSBeacon利用内置的Windows二进制文件(例如msbuild.exe Microsoft.Workflow.Compiler.exeregsvr32.exe)来执行任意有效负载以及searchindexer.exe进行流程注入以逃避防御。它通过伪装重命名这些二进制文件以避免基于名称的检测规则。您可以阅读我们的博客文章,以了解有关伪装技术的更多信息。

Beacon Covert C2 Payload - Cobalt Strike.https://www.cobaltstrike.com/help-beacon

MITRE ATT&CK Techniques 
T1071.001 Application Layer Protocol: Web Protocols 
T1029 Scheduled Transfer 
T1036.003 Masquerading: Rename System Utilities 
T1036.004 Masquerading: Task or Service 
T1036.005 Masquerading: Match Legitimate Name orLocation 
T1574.002 Hijack Execution Flow: DLL Side-Loading 
T1047 Windows Management Instrumentation 
T1072 Software Deployment Tools 
T1059.003 Command and Scripting Interpreter: WindowsCommand Shell


1.3 Beltalowda

Beltalowda是一个基于开源实用程序SeatBelt的红队工具。SeatBelt从进攻性和防御性安全角度进行了各种面向安全性的主机安全检查

GhostPack,“GhostPack/Seatbelt.”https://github.com/GhostPack/Seatbelt


1.4 Dtrim

Dtrim是修改后的版本SharpSploit ,这是C#编写的一个开源.NET后渗透利用库。SharpSploit移植了PowerShell后渗透利用框架(如PowerSploit)和其他工具(如Mimikatz)的模块。

cobbr, “cobbr/SharpSploit.” https://github.com/cobbr/SharpSploit


1.5 EWS-RT

EWS-RT基于开源PowerShell工具RT-EWS,该工具是利用EWSExchange Web ServicesAPI的几个cmdletMicrosoft Exchange Server(包括Office365Windows Server)上执行特定的枚举/利用任务。

med0x2e, “med0x2e/RT-EWS.”https://github.com/med0x2e/RT-EWS


1.6 Fluffy

FluffyRubeus的修改版本,它是用于原始Kerberos交互和滥用的开源C#工具箱。红色团队使用Rubeus进行Kerberoasting攻击并提取Kerberos票证。

GhostPack, “GhostPack/Rubeus.” https://github.com/GhostPack/Rubeus

MITRE ATT&CK Techniques 

T1558.003 Steal or Forge Kerberos Tickets:Kerberoasting 

“Steal or Forge Kerberos Tickets: Kerberoasting.”https://attack.mitre.org/techniques/T1558/003/


1.7 G2JS

G2JSGadgetToJScript)是用于生成.NET序列化小工具的工具,当使用基于JS / VBS / VBA的脚本中的BinaryFormatter反序列化时,该工具可以触发.NET程序集的加载/执行。。G2JS的创建主要是为了在红队参与期间自动执行Microsoft Windows脚本宿主(WSH)脚本武器化。

med0x2e, “med0x2e/GadgetToJScript.”https://github.com/med0x2e/GadgetToJScript

MITRE ATT&CK Techniques 
T1059.005 Command and Scripting Interpreter: VisualBasic 
T1059.007 Command and Scripting Interpreter:JavaScript/JScript


1.8 ImpacketObf

ImpacketObf(ImpacketObfuscation)是混淆的Impacket实用程序的集合。ImpacketPython类的开放源代码集合,用于处理网络协议。

SecureAuthCorp, “SecureAuthCorp/impacket.”https://github.com/SecureAuthCorp/impacket


1.9 ImpacketOBF (SMBExec)

该工具基于Impacket smbexec .py工具。


1.10 ImpacketOBF (WMIExec)

该工具基于Impacket wmiexec .py工具。

MITRE ATT&CK Techniques 
T1047 Windows Management Instrumentation


1.11InveighZero

InveighZero是一个开源的欺骗者和中间人(MitM)攻击工具,旨在协助红色团队和渗透测试人员。它可以欺骗LMNRNBNSmDNSDNSDHCPv6协议。

Kevin-Robertson,“Kevin-Robertson/InveighZero.” https://github.com/Kevin-Robertson/InveighZero

MITRE ATT&CK Techniques 
T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoningand SMB Relay


1.12 KeeFarce

KeeFarce是一个开放源代码工具,可以从内存中提取KeePass 2.x密码数据库信息。它使用DLL注入在正在运行的KeePass进程的上下文中执行代码。

denandz, “denandz/KeeFarce.” https://github.com/denandz/KeeFarce

MITRE ATT&CK Techniques 
T1555.001 Process Injection: Dynamic-link LibraryInjection


1.13 NetAssemblyInject

该工具将.NET程序集注入到任意Windows进程中。它基于开放源代码工具NET-Assembly-Inject-Remote

med0x2e,“med0x2e/NET-Assembly-Inject-Remote.” https://github.com/med0x2e/NET-Assembly-Inject-Remote


1.14 NoAmci

NoAmci是一个开放源码的工具,使用DInvoke修补AMSI.dll到旁路AMSI Windows Antimalware Scan Interface)检测。

med0x2e, “med0x2e/NoAmci.” https://github.com/med0x2e/NoAmci


1.15 PuppyHound

PuppyHound是开源工具SharpHound的修改版本。它是基于BloodHound项目的数据收集器。

BloodHoundAD,“BloodHoundAD/SharpHound3.” https://github.com/BloodHoundAD/SharpHound3

BloodHoundAD,“BloodHoundAD/BloodHound.” https://github.com/BloodHoundAD/BloodHound


1.16 Rubeus

Rubeus是用于原始Kerberos交互和滥用的开源工具箱。红队使用Rubeus进行Kerberoasting攻击并提取Kerberos票证。

GhostPack, “GhostPack/Rubeus.” https://github.com/GhostPack/Rubeus

MITRE ATT&CK Techniques 
T1558.003 Steal or Forge Kerberos Tickets:Kerberoasting



1.17 SafetyKatz

SafetyKatzMimikatz.NET PE加载程序的结合。它创建LSASS的小型转储,并使用PELoader加载自定义版本的Mimikatz以进行凭证转储。

GhostPack,“GhostPack/SafetyKatz.”https://github.com/GhostPack/SafetyKatz

MITRE ATT&CK Techniques 
T1003.001 OS Credential Dumping: LSASS Memory


1.18SharpUtils

它是用C#语言编写的红队实用程序的开源集合。

IllidanS,“IllidanS4/SharpUtils.”https://github.com/IllidanS4/SharpUtils


1.19 SharpZeroLogon

它是Zerologon漏洞(CVE-2020-1472)的一种开源漏洞。它利用Netlogon中的加密漏洞绕过身份验证。

nccgroup, “nccgroup/nccfsas.”https://github.com/nccgroup/nccfsas


1.20 TitoSpecial

TitoSpecial基于开源工具AndrewSpecial ,它是一个凭据窃取者。它从LSASS内存中转储凭证。我们在凭据转储博客解释了此技术。

MITRE ATT&CK Techniques 
T1003.001 OS Credential Dumping: LSASS Memory


1.21 TrimBishop

该工具基于开源工具RuralBishop,shellcode注入工具。

rasta-mouse,“rasta-mouse/RuralBishop.”https://github.com/rasta-mouse/RuralBishop


2. 基于内置Windows二进制文件的工具

这些工具使用内置的Windows二进制文件,称为LOLBINs (Living Off the LandBinaries)

2.1 DueDLLigence

DueDLLigence是先前由FireEye发布的shellcode运行器框架。红队将其用于应用程序白名单绕过和DLL侧面加载。它采用内置的Windows Control.exe文件(Windows控制面板),Rasautou.exe 远程访问拨号器),以及msiexec.exe文件(Microsoft Installer Executable),以旁路应用。

fireeye, “fireeye/DueDLLigence.”https://github.com/fireeye/DueDLLigence

MITRE ATT&CK Techniques 
T1218.002 Signed Binary Proxy Execution: Control Panel
T1218.007 Signed Binary Proxy Execution: Msiexec


2.2 MSBuildMe

这个红色团队工具基于MSBuild(Microsoft Build Engine),它是一个用于构建应用程序的平台。它用于编译和执行代码,并绕过应用程序白名单(AWL )。

ghogen,“MSBuild.” 

https://docs.microsoft.com/en-us/visualstudio/msbuild/msbuild

MITRE ATT&CK Techniques 
T1127.001 Trusted Developer Utilities Proxy Execution:MSBuild


2.3 NetshShellCodeRunner

该工具基于Netsh .exe,这是Windows工具,用于处理网络接口设置。对手和红色团队使用Netsh.exe执行.dll文件。

MITRE ATT&CK Techniques 
T1546.007 Event Triggered Execution: Netsh Helper DLL


2.4 Uncategorized

这是一组工具,这些工具利用内置的Windows二进制文件dism.exesearchprotocolhost.exewerfault .exe进行进程注入。


MITRE ATT&CK Techniques 
T1055 Process Injection

2.5 Weaponize

该工具使用内置的Windows二进制TSTheme.exeTSTheme Server Module)。


3.Fireeye的红色团队内部开发的工具

这些工具是专门为FireEyeRed Team使用而开发的。

3.1 DShell

DShell红队工具是用D编程语言编写的后门程序。其有效负载以Base64格式编码。根据DShell使用的Windows函数,我们猜测它使用进程注入技术将其有效负载注入到合法进程中。


3.2Excavator

这个红色团队工具可以直接或通过其服务转储流程。红队使用它从LSASS内存中转储凭证。您可以阅读我们的凭据转储博客以了解此技术的详细信息。

MITRE ATT&CK Techniques 
T1003.001 OS Credential Dumping: LSASS Memory


3.3 GetDomainPasswordPolicy

它是一种侦查工具,可获取ActiveDirectory域的密码策略。


3.4 GPOHunt

它是一种检索工具,可检索组策略配置。


3.5 KeePersist

它是为FireeyeRed Team内部开发的工具,用于持久性。


3.6 LNKSmasher

LNKSmasher是一种可生成恶意软件的工具。LNK文件是用于指向可执行文件的快捷方式文件的文件格式。这个红色团队工具可以在LNK文件中嵌入任意有效载荷。

MITRE ATT&CK Techniques 
T1547.009 Boot or Logon Autostart Execution: ShortcutModification 
T1204.002 User Execution: Malicious File


3.7 LuaLoader

LuaLoader是一个红色团队工具,可以加载用Lua语言编写的任意代码。它是为FireeyeRed Team内部开发的工具。


3.8 Matryoshka

Matryoshka是用Rust编程语言编写的工具。这是一个多阶段工具。下载第一阶段的有效负载后,它会通过其删除程序运行第二阶段的恶意软件并安装实际的有效负载。它使用过程挖空技术逃避防御。

“ProcessInjection:ProcessHollowing.”  

https://attack.mitre.org/techniques/T1055/012/


3.9MemComp

MemComp工具用于内存中编译。


3.10MOFComp

MOFCompMOF编译器)是一个内置的Windows工具,该工具分析包含MOF(托管对象格式)语句的文件,并将文件中定义的类和类实例添加到WMI Windows ManagementInstrumentation)存储库。

stevewhims, “mofcomp.”https://docs.microsoft.com/en-us/windows/win32/wmisdk/mofcomp

MITRE ATT&CK Techniques 
T1546.003 Event Triggered Execution: WindowsManagement Instrumentation Event Subscription


3.11 PGF

PGF是一个后门开发框架,它利用了多个LOLBIN ,例如Netsh InstallUtil Regasm RunDLL32 ControlCstmp.exe

MITRE ATT&CK Techniques 
T1218.001 Signed Binary Proxy Execution: Compiled HTMLFile 
T1218.002 Signed Binary Proxy Execution: Control Panel
T1218.003 Signed Binary Proxy Execution: CMSTP 
T1218.004 Signed Binary Proxy Execution: InstallUtil 
T1218.005 Signed Binary Proxy Execution: Mshta 
T1218.007 Signed Binary Proxy Execution: Msiexec 
T1218.008 Signed Binary Proxy Execution: Odbcconf 
T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm
T1218.010 Signed Binary Proxy Execution: Regsvr32 
T1218.011 Signed Binary Proxy Execution: Rundll32 
T1216.001 Signed Script Proxy Execution: PubPrn 
T1548.002 Abuse Elevation Control Mechanism: BypassUser Account Control 
T1036.005 Masquerading: Match Legitimate Name orLocation 
T1055 Process Injection 
T1574.002 Hijack Execution Flow: DLL Search OrderHijacking 
T1574.002 Hijack Execution Flow: DLL Side-Loading



3.12 PXELoot

它是一个红色的团队工具,可以发现和利用Windows部署服务(WDS/Windows Deployment Services)中的错误配置。


3.13 RedFlare

RedFlareTrojan开发框架,包括构建器,控制器,下载器和键盘记录器。它可以为WindowsLinux系统生成木马。


3.14 RedFlare (GoRAT)

GoRAT是使用Golang编程语言编写的RAT(远程访问木马)。


3.15 ResumePlease

它是一个Microsoft Office宏恶意软件模板,其中包含恶意VBA Visual Basic for Application)代码。


3.16 SharPersist

它是用C#为FireEye Red Team编写的Windows持久性工具包。它通过几种方法来提供持久性,例如修改注册表运行键,将有效负载添加到启动文件夹以及添加在每次启动时运行的新计划任务。

fireeye,“fireeye/SharPersist.”https://github.com/fireeye/SharPersist

MITRE ATT&CK Techniques  
T1112 Modify Registry 
T1546.015 Event Triggered Execution: Component ObjectModel Hijacking 
T1547.001 Boot or Logon Autostart Execution: RegistryRun Keys / Startup Folder 
T1047 Windows Management Instrumentation 
T1053.005 Scheduled Task/Job: Scheduled Task


3.17SharPivot

SharPivot是一个.NET控制台应用程序。这个红色团队工具利用DCOM(分布式组件对象模型)在远程目标上执行命令以进行横向移动.

MITRE ATT&CK Techniques 
T1021.003 Remote Services: Distributed ComponentObject Model 
T1559.001 Inter-Process Communication: ComponentObject Model 
T1059.003 Command and Scripting Interpreter: WindowsCommand Shell



3.18 SharpSchTask

这是一个用C#编写的持久性工具,它利用Windows的计划任务功能。

MITRE ATT&CK Techniques 
Scheduled Task/Job: Scheduled Task


3.19 SharpStomp

SharpStompC#实用程序,可用于修改文件的创建,最后访问和最后写入时间。换句话说,它是一个时间戳记工具。

MITRE ATT&CK Techniques 
T1070.006 Indicator Removal on Host: Timestomp


3.20 SinfulOffice

此工具用于使用OLE (对象链接和嵌入)功能创建恶意的Microsoft Office文档。


3.21 WildChild

WildChild是一个生成器工具,用于创建恶意的HTA HTML应用程序)文件。Microsoft HTML应用程序主机(Mshta .exe)运行HTA文件。

MITRE ATT&CK Techniques 
T1218.005 Signed Binary Proxy Execution: Mshta



3.22 WMIRunner

该工具用于运行WMI命令。

MITRE ATT&CK Techniques 
T1047 Windows Management Instrumentation


3.23 WMISharp

该工具包括 Red Team参与中使用的WMI命令。

MITRE ATT&CK Techniques 
T1047 Windows Management Instrumentation


3.24 WMISpy

WMISpy工具使用多个WMI类,例如Win32NetworkLoginProfileMSFTNetNeighborWin32IP4RouteTableWin32DCOMApplicationWin32SystemDriverWin32ShareWin32_Process进行侦察和横向移动。

MITRE ATT&CK Techniques 
T1047 Windows Management Instrumentation 
T1021.003 Remote Services: Distributed ComponentObject Model


4. 没有足够数据进行分析的工具

FireEye针对以下工具发布的Yara规则特定于该工具的ProjectGuid。我们希望FireEye发布有关此工具的更详细的对策。

  1. AllTheThings

  2. CoreHound

  3. Justask

  4. PrepShellCode

  5. Revolver

  6. SharpGenerator

  7. SharpGrep

  8. SharpSack

  9. SharpSectionInjection

  10. SharPy

 

5. 表格统计

有多个工具标记为开源,是因为它并不是在FireEye的官方Github库。但作者可能是员工,如:med0x2e,就职于FireEye旗下的Mandiant公司。

工具名称 用途 是否开源
ADPASSHUNT 凭证窃取工具,用于搜寻Active Directory凭证。 二次开发
ALLTHETHINGS 未知 自研
BEACON 基于Cobalt Strike的Beacon 二次开发
BELTALOWDA 进行了各种面向安全性的主机“安全检查” 开源
COREHOUND 未知 自研
DSHELL D语言编写的后门 自研
DTRIM C#编写的一个后利用工具 二次开发
DUEDLLIGENCE shellcode运行器框架 自研
EWSRT 攻击Exchange服务器 二次开发
EXCAVATOR LSASS内存中转储凭证 自研
FLUFFY 进行Kerberoasting攻击并提取Kerberos票证 二次开发
G2JS 二进制转JS脚本的工具 开源
GETDOMAINPASSWORDPOLICY 获取Active Directory域的密码策略 自研
GPOHUNT 检索组策略配置 自研
IMPACKETOBF 混淆的Impacket实用程序的集合 二次开发
IMPACKETOBF (Smbexec) 混淆的Impacket实用程序的集合(Smbexec) 二次开发
IMPACKETOBF (Wmiexec) 混淆的Impacket实用程序的集合(Wmiexec) 二次开发
INVEIGHZERO 欺骗者和中间人(MitM)攻击工具 开源
JUSTASK 未知 自研
KEEFARCE 从内存中提取KeePass 2.x密码 开源
KEEPERSIST 用于权限维持 自研
LNKSMASHER  LNK格式恶意代码生成工具 自研
LUALOADER 加载用Lua语言编写的任意代码 自研
MATRYOSHKA 用Rust编程语言编写的多阶段进程注入工具。 自研
MEMCOMP MemComp工具用于内存中编译。 自研
MOFCOMP Windows内置的工具 自研
MSBUILDME 用于编译和执行代码,并绕过应用程序白名单(AWL ) 自研
NETASSEMBLYINJECT 将C#.NET程序集注入到任意Windows进程中 二次开发
NETSHSHELLCODERUNNER 使用Netsh.exe执行.dll文件 自研
NOAMCI 绕过通过Assembly.Load()加载.NET tradecraft时触发的AMSI检测。 开源
PGF 后门利用框架 自研
PREPSHELLCODE 未知 自研
PUPPYHOUND 域内信息收集工具 二次开发
PXELOOT 发现和利用Windows部署服务中的错误配置。 自研
REDFLARE 后门利用框架 自研
REDFLARE (Gorat) 使用Golang编程语言编写的后门 自研
RESUMEPLEASE Microsoft  Office宏恶意软件模板 自研
REVOLVER 未知 自研
RUBEUS 用于原始Kerberos交互和滥用的开源C#工具箱。 开源
SAFETYKATZ Mimikatz和.NET PE加载程序的结合 二次开发
SHARPERSIST Windows持久性工具包 开源
SHARPGENERATOR 未知 自研
SHARPGREP 未知 自研
SHARPIVOT 利用DCOM在远程目标上执行命令以进行横向移动 自研
SHARPSACK 未知 自研
SHARPSCHTASK 利用Windows的计划任务功能的持久性工具 自研
SHARPSECTIONINJECTION 未知 自研
SHARPSTOMP 时间戳修改工具 自研
SHARPUTILS C#语言编写的红队实用程序集合 开源
SHARPY 未知 自研
SHARPZEROLOGON Zerologon漏洞(CVE-2020-1472)利用工具 开源
SINFULOFFICE 使用OLE生成恶意的office文档 自研
TITOSPECIAL LSASS内存中转储凭证 二次开发
TRIMBISHOP shellcode注入工具 二次开发
UNCATEGORIZED 进程注入 自研
WEAPONIZE Windows内置的工具 自研
WILDCHILD HTA生成器 自研
WMIRUNNER 运行WMI命令 自研
WMISHARP WMI命令 自研
WMISPY WMI侦察和横向移动 自研



参考文献

[1]“LOLBAS.”

https://lolbas-project.github.io

[2]“APT29.”

https://attack.mitre.org/groups/G0016/

[3] E. Nakashima and J.Marks, “Spies with Russia’s foreign intelligence service believed to havehacked a top American cybersecurity firm and stolen its sensitive tools,” The Washington Post, The WashingtonPost

https://www.washingtonpost.com/national-security/leading-cybersecurity-firm-fireeye-hacked/2020/12/08/a3369aaa-3988-11eb-98c4-25dc9f4987e8_story.html

[4] fireeye, “fireeye/redteamtoolcountermeasures.”

https://github.com/fireeye/redteamtoolcountermeasures

[5] “[No title].”

https://raw.githubusercontent.com/fireeye/redteamtoolcountermeasures/master/rules/ADPASSHUNT/production/yara/APTHackToolMSILADPassHunt_2.yar

[6] Chris and V. my C.Profile, “GPP Password Retrieval with PowerShell.”

http://obscuresecurity.blogspot.com/2012/05/gpp-password-retrieval-with-powershell.html

[7] PowerShellMafia, “PowerShellMafia/PowerSploit.”

https://github.com/PowerShellMafia/PowerSploit



山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。


自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。


如需帮助请咨询 [email protected]


FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)



本文始发于微信公众号(山石网科安全技术研究院):FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: