FireEye的RedTeam工具使用的战术，技术和程序（TTP）分析（翻译）

原文来自Picus安全的博客，略有修改。

摘要

在本文中，我们分析了从FireEye Red Team军火库中盗取的60种工具，以了解此漏洞的影响。我们发现：

• 43％的被盗工具是使用已知攻击技术的公开可用工具。

• FireEye内部开发了40％的工具。这些工具利用了已知的对抗技术。

• 由于FireEye没有共享有关这些工具的足够详细信息，因此无法识别17％的被盗工具。根据它们的名称，我们认为这些未知工具中的大多数也都是公开可用工具的略微修改版本。

FireEye漏洞中的被盗工具和攻击利用已知的攻击技术。我们的分析表明，这种违规行为不会对组织产生重大影响。但是，仍应针对被盗工具采取对策，因为攻击者可能会使用它们。

被盗的红队工具

FireEye尚未分享有关被盗的红色团队工具做什么的详细信息。Picus Labs的Red and Blue Team分析人员分析了这些被盗用的工具，以揭示这些工具的功能和可能的影响。

我们将这些工具分为四类：

1. 基于开源项目的工具：这些红色团队工具是开源工具的略微修改版本。

2. 基于内置Windows二进制文件的工具：这些工具使用称为LOLBIN[1]的内置Windows二进制文件。

3.  Fireeye内部自研的Red Team开发的工具：这些工具是专门为FireEye的Red Team使用而开发的。

4. 没有足够数据进行分析的工具：没有足够的数据来分析这些工具。FireEye针对以下工具发布的Yara规则特定于该工具的ProjectGuid。

下图显示了根据上述类别被盗的红色团队工具的分布。

被盗的漏洞

除了红色团队工具外，还存在受事件影响的漏洞payload。payload泄漏会利用以下漏洞。根据FireEye的报告，泄漏的payload不包括0day漏洞利用。

CVE编号	漏洞类型
CVE-2014-1812	特权提升
CVE-2016-0167	特权提升
CVE-2017-11774	远程执行代码
CVE-2018-13379	预认证任意文件读取
CVE-2018-15961	远程执行代码
CVE-2019-0604	远程执行代码
CVE-2019-0708	远程执行代码
CVE-2019-11510	预认证任意文件读取
CVE-2019-11580	远程执行代码
CVE-2019-19781	远程执行代码
CVE-2019-3398	认证的远程执行代码
CVE-2019-8394	预认证任意文件上传
CVE-2020-0688	远程执行代码
CVE-2020-1472	特权提升
CVE-2018-8581	特权提升
CVE-2020-10189	远程执行代码

下图显示了根据漏洞类型的漏洞分布：

嫌疑犯

FireEye经常与俄罗斯的威胁团体打交道，是一家与APT团体和国家赞助的威胁团体作战的网络安全公司。根据《华盛顿邮报》的报道，APT29（也称为YTTRIUM，The Dukes，Cozy Bear和CozyDuke）[2]实施了此次针对FireEye的破坏[3] 。但是，这里没有证据证明这一点。

蓝队建议

Picus Labs的蓝色小组准备了一系列建议，以防止和检测被盗的工具和漏洞。

1. 缓解漏洞

使用漏洞扫描和监视工具，针对上一节中列出的漏洞进行系统评估。如果您尚未修补，则必须修复它们，并应检查它们是否在系统中被滥用。

2. 危害评估

您可以使用FireEye[4]发布的Yara规则对系统进行危害评估。要利用Yara规则，您可以使用开源的Yara扫描工具或企业产品并将其分发到系统上的端点，然后添加规则并获得结果。此外，您可以使用Yara规则中包含的IoC，并在您的SIEM环境中搜索它们。

3. 利用IOC

为了防止和检测将来的相关威胁，您可以将此报告中提供的IOC添加到您的安全产品中，例如EDR，EPP和SIEM。但是，请记住，对手可以轻松更改这些IoC。

4. 利用Snort规则

多数网络安全产品都支持Snort规则。您可以将已发布的Snort规则添加到安全设备[4]。如果您已经在使用Snort，则可以检查当前规则是否最新。

5. 更新您的安全产品

安全供应商正在发布新的签名和规则集，其中包括针对被盗工具的对策。更新您的安全产品及其规则和签名集。

6. 使用OpenIOC进行搜索

FireEye以OpenIoC格式发布了一些对策。您可以使用IoC编辑器开发检测和搜寻规则，将这些规则添加到安全设备中。

工具的详细分析

这些红色团队工具是基于开源工具稍作修改的版本。

1.1 ADPassHunt

这是一个凭证窃取工具，用于搜寻ActiveDirectory凭证。该工具的YARA规则[5]中有两个引人注目的字符串:Get-GPPPasswords和Get-GPPAutologons。Get-GPPPassword 是一个PowerShell脚本，用于检索通过组策略首选项（GPP）[6]推送的帐户的明文密码和其他信息。Get-GPPAutologons 是另一个PowerShell脚本，可从通过GPP推送的自动登录条目中检索密码。这些脚本在PowerSploit中用作功能，PowerSploit是将PowerShell模块和脚本结合在一起的进攻性安全框架[7] 。您可以阅读我们的博客文章查找有关OS凭证转储技术的更多信息。

MITRE ATT&CK Techniques  T1003.003 OS Credential Dumping: NTDS  T1552.06 Unsecured Credentials: Group PolicyPreferences

1.2 Beacon

这个红队工具基于Cobalt Strike Beacon。Beacon是Cobalt Strike的payload，用于实现多个控制目标，如持久性，执行，特权提升，凭证转储，横向移动以及通过HTTP，HTTPS，DNS，SMB和TCP协议进行命令和控制（C2）通信。根据FireEye发布的对策，Beacon使用HTTP，HTTPS和DNS。Beacon利用内置的Windows二进制文件（例如msbuild.exe 、Microsoft.Workflow.Compiler.exe和regsvr32.exe）来执行任意有效负载以及searchindexer.exe进行流程注入以逃避防御。它通过伪装重命名这些二进制文件以避免基于名称的检测规则。您可以阅读我们的博客文章，以了解有关伪装技术的更多信息。

Beacon Covert C2 Payload - Cobalt Strike.https://www.cobaltstrike.com/help-beacon

MITRE ATT&CK Techniques  T1071.001 Application Layer Protocol: Web Protocols  T1029 Scheduled Transfer  T1036.003 Masquerading: Rename System Utilities  T1036.004 Masquerading: Task or Service  T1036.005 Masquerading: Match Legitimate Name orLocation  T1574.002 Hijack Execution Flow: DLL Side-Loading  T1047 Windows Management Instrumentation  T1072 Software Deployment Tools  T1059.003 Command and Scripting Interpreter: WindowsCommand Shell

1.3 Beltalowda

Beltalowda是一个基于开源实用程序SeatBelt的红队工具。SeatBelt从进攻性和防御性安全角度进行了各种面向安全性的主机“安全检查”。

GhostPack,“GhostPack/Seatbelt.”https://github.com/GhostPack/Seatbelt

1.4 Dtrim

Dtrim是修改后的版本SharpSploit ，这是C＃编写的一个开源.NET后渗透利用库。SharpSploit移植了PowerShell后渗透利用框架（如PowerSploit）和其他工具（如Mimikatz）的模块。

cobbr, “cobbr/SharpSploit.” https://github.com/cobbr/SharpSploit

1.5 EWS-RT

EWS-RT基于开源PowerShell工具RT-EWS，该工具是利用EWS（Exchange Web Services）API的几个cmdlet在Microsoft Exchange Server（包括Office365和Windows Server）上执行特定的枚举/利用任务。

med0x2e, “med0x2e/RT-EWS.”https://github.com/med0x2e/RT-EWS

1.6 Fluffy

Fluffy是Rubeus的修改版本，它是用于原始Kerberos交互和滥用的开源C＃工具箱。红色团队使用Rubeus进行Kerberoasting攻击并提取Kerberos票证。

GhostPack, “GhostPack/Rubeus.” https://github.com/GhostPack/Rubeus

MITRE ATT&CK Techniques  T1558.003 Steal or Forge Kerberos Tickets:Kerberoasting  “Steal or Forge Kerberos Tickets: Kerberoasting.”https://attack.mitre.org/techniques/T1558/003/

1.7 G2JS

G2JS（GadgetToJScript）是用于生成.NET序列化小工具的工具，当使用基于JS / VBS / VBA的脚本中的BinaryFormatter反序列化时，该工具可以触发.NET程序集的加载/执行。。G2JS的创建主要是为了在红队参与期间自动执行Microsoft Windows脚本宿主（WSH）脚本武器化。

med0x2e, “med0x2e/GadgetToJScript.”https://github.com/med0x2e/GadgetToJScript

MITRE ATT&CK Techniques  T1059.005 Command and Scripting Interpreter: VisualBasic  T1059.007 Command and Scripting Interpreter:JavaScript/JScript

1.8 ImpacketObf

ImpacketObf(ImpacketObfuscation)是混淆的Impacket实用程序的集合。Impacket是Python类的开放源代码集合，用于处理网络协议。

SecureAuthCorp, “SecureAuthCorp/impacket.”https://github.com/SecureAuthCorp/impacket

1.9 ImpacketOBF (SMBExec)

该工具基于Impacket的 smbexec .py工具。

1.10 ImpacketOBF (WMIExec)

该工具基于Impacket的 wmiexec .py工具。

MITRE ATT&CK Techniques  T1047 Windows Management Instrumentation

1.11InveighZero

InveighZero是一个开源的欺骗者和中间人（MitM）攻击工具，旨在协助红色团队和渗透测试人员。它可以欺骗LMNR，NBNS，mDNS，DNS和DHCPv6协议。

Kevin-Robertson,“Kevin-Robertson/InveighZero.” https://github.com/Kevin-Robertson/InveighZero

MITRE ATT&CK Techniques  T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoningand SMB Relay

1.12 KeeFarce

KeeFarce是一个开放源代码工具，可以从内存中提取KeePass 2.x密码数据库信息。它使用DLL注入在正在运行的KeePass进程的上下文中执行代码。

denandz, “denandz/KeeFarce.” https://github.com/denandz/KeeFarce

MITRE ATT&CK Techniques  T1555.001 Process Injection: Dynamic-link LibraryInjection

1.13 NetAssemblyInject

该工具将.NET程序集注入到任意Windows进程中。它基于开放源代码工具NET-Assembly-Inject-Remote。

med0x2e,“med0x2e/NET-Assembly-Inject-Remote.” https://github.com/med0x2e/NET-Assembly-Inject-Remote

1.14 NoAmci

NoAmci是一个开放源码的工具，使用DInvoke修补AMSI.dll到旁路AMSI （Windows Antimalware Scan Interface）检测。

med0x2e, “med0x2e/NoAmci.” https://github.com/med0x2e/NoAmci

1.15 PuppyHound

PuppyHound是开源工具SharpHound的修改版本。它是基于BloodHound项目的数据收集器。

BloodHoundAD,“BloodHoundAD/SharpHound3.” https://github.com/BloodHoundAD/SharpHound3

BloodHoundAD,“BloodHoundAD/BloodHound.” https://github.com/BloodHoundAD/BloodHound

1.16 Rubeus

Rubeus是用于原始Kerberos交互和滥用的开源工具箱。红队使用Rubeus进行Kerberoasting攻击并提取Kerberos票证。

GhostPack, “GhostPack/Rubeus.” https://github.com/GhostPack/Rubeus

MITRE ATT&CK Techniques  T1558.003 Steal or Forge Kerberos Tickets:Kerberoasting

1.17 SafetyKatz

SafetyKatz是Mimikatz和.NET PE加载程序的结合。它创建LSASS的小型转储，并使用PELoader加载自定义版本的Mimikatz以进行凭证转储。

GhostPack,“GhostPack/SafetyKatz.”https://github.com/GhostPack/SafetyKatz

MITRE ATT&CK Techniques  T1003.001 OS Credential Dumping: LSASS Memory

1.18SharpUtils

它是用C＃语言编写的红队实用程序的开源集合。

IllidanS,“IllidanS4/SharpUtils.”https://github.com/IllidanS4/SharpUtils

1.19 SharpZeroLogon

它是Zerologon漏洞(CVE-2020-1472)的一种开源漏洞。它利用Netlogon中的加密漏洞绕过身份验证。

nccgroup, “nccgroup/nccfsas.”https://github.com/nccgroup/nccfsas

1.20 TitoSpecial

TitoSpecial基于开源工具AndrewSpecial ，它是一个凭据窃取者。它从LSASS内存中转储凭证。我们在“凭据转储”博客解释了此技术。

MITRE ATT&CK Techniques  T1003.001 OS Credential Dumping: LSASS Memory

1.21 TrimBishop

该工具基于开源工具RuralBishop,shellcode注入工具。

rasta-mouse,“rasta-mouse/RuralBishop.”https://github.com/rasta-mouse/RuralBishop

这些工具使用内置的Windows二进制文件，称为LOLBINs (Living Off the LandBinaries)。

2.1 DueDLLigence

DueDLLigence是先前由FireEye发布的shellcode运行器框架。红队将其用于应用程序白名单绕过和DLL侧面加载。它采用内置的Windows Control.exe文件（Windows控制面板），Rasautou.exe （远程访问拨号器），以及msiexec.exe文件（Microsoft Installer Executable），以旁路应用。

fireeye, “fireeye/DueDLLigence.”https://github.com/fireeye/DueDLLigence

MITRE ATT&CK Techniques  T1218.002 Signed Binary Proxy Execution: Control Panel T1218.007 Signed Binary Proxy Execution: Msiexec

2.2 MSBuildMe

这个红色团队工具基于MSBuild(Microsoft Build Engine),它是一个用于构建应用程序的平台。它用于编译和执行代码，并绕过应用程序白名单（AWL ）。

ghogen,“MSBuild.” 

https://docs.microsoft.com/en-us/visualstudio/msbuild/msbuild

MITRE ATT&CK Techniques  T1127.001 Trusted Developer Utilities Proxy Execution:MSBuild

2.3 NetshShellCodeRunner

该工具基于Netsh .exe，这是Windows工具，用于处理网络接口设置。对手和红色团队使用Netsh.exe执行.dll文件。

MITRE ATT&CK Techniques  T1546.007 Event Triggered Execution: Netsh Helper DLL

2.4 Uncategorized

这是一组工具，这些工具利用内置的Windows二进制文件dism.exe，searchprotocolhost.exe和werfault .exe进行进程注入。

MITRE ATT&CK Techniques  T1055 Process Injection

2.5 Weaponize

该工具使用内置的Windows二进制TSTheme.exe（TSTheme Server Module）。

这些工具是专门为FireEye的Red Team使用而开发的。

3.1 DShell

DShell红队工具是用D编程语言编写的后门程序。其有效负载以Base64格式编码。根据DShell使用的Windows函数，我们猜测它使用进程注入技术将其有效负载注入到合法进程中。

3.2Excavator

这个红色团队工具可以直接或通过其服务转储流程。红队使用它从LSASS内存中转储凭证。您可以阅读我们的凭据转储博客以了解此技术的详细信息。

MITRE ATT&CK Techniques  T1003.001 OS Credential Dumping: LSASS Memory

3.3 GetDomainPasswordPolicy

它是一种侦查工具，可获取ActiveDirectory域的密码策略。

3.4 GPOHunt

它是一种检索工具，可检索组策略配置。

3.5 KeePersist

它是为Fireeye的Red Team内部开发的工具，用于持久性。

3.6 LNKSmasher

LNKSmasher是一种可生成恶意软件的工具。LNK文件是用于指向可执行文件的快捷方式文件的文件格式。这个红色团队工具可以在LNK文件中嵌入任意有效载荷。

MITRE ATT&CK Techniques  T1547.009 Boot or Logon Autostart Execution: ShortcutModification  T1204.002 User Execution: Malicious File

3.7 LuaLoader

LuaLoader是一个红色团队工具，可以加载用Lua语言编写的任意代码。它是为Fireeye的Red Team内部开发的工具。

3.8 Matryoshka

Matryoshka是用Rust编程语言编写的工具。这是一个多阶段工具。下载第一阶段的有效负载后，它会通过其删除程序运行第二阶段的恶意软件并安装实际的有效负载。它使用过程挖空技术逃避防御。

“ProcessInjection:ProcessHollowing.”   https://attack.mitre.org/techniques/T1055/012/

3.9MemComp

MemComp工具用于内存中编译。

3.10MOFComp

MOFComp（MOF编译器）是一个内置的Windows工具，该工具分析包含MOF（托管对象格式）语句的文件，并将文件中定义的类和类实例添加到WMI （Windows ManagementInstrumentation）存储库。

stevewhims, “mofcomp.”https://docs.microsoft.com/en-us/windows/win32/wmisdk/mofcomp

MITRE ATT&CK Techniques  T1546.003 Event Triggered Execution: WindowsManagement Instrumentation Event Subscription

3.11 PGF

PGF是一个后门开发框架，它利用了多个LOLBIN ，例如Netsh ，InstallUtil ，Regasm ，RunDLL32 ，Control和Cstmp.exe

MITRE ATT&CK Techniques  T1218.001 Signed Binary Proxy Execution: Compiled HTMLFile  T1218.002 Signed Binary Proxy Execution: Control Panel T1218.003 Signed Binary Proxy Execution: CMSTP  T1218.004 Signed Binary Proxy Execution: InstallUtil  T1218.005 Signed Binary Proxy Execution: Mshta  T1218.007 Signed Binary Proxy Execution: Msiexec  T1218.008 Signed Binary Proxy Execution: Odbcconf  T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm T1218.010 Signed Binary Proxy Execution: Regsvr32  T1218.011 Signed Binary Proxy Execution: Rundll32  T1216.001 Signed Script Proxy Execution: PubPrn  T1548.002 Abuse Elevation Control Mechanism: BypassUser Account Control  T1036.005 Masquerading: Match Legitimate Name orLocation  T1055 Process Injection  T1574.002 Hijack Execution Flow: DLL Search OrderHijacking  T1574.002 Hijack Execution Flow: DLL Side-Loading

3.12 PXELoot

它是一个红色的团队工具，可以发现和利用Windows部署服务（WDS/Windows Deployment Services）中的错误配置。

3.13 RedFlare

RedFlare是Trojan开发框架，包括构建器，控制器，下载器和键盘记录器。它可以为Windows和Linux系统生成木马。

3.14 RedFlare (GoRAT)

GoRAT是使用Golang编程语言编写的RAT（远程访问木马）。

3.15 ResumePlease

它是一个Microsoft Office宏恶意软件模板，其中包含恶意VBA （Visual Basic for Application）代码。

3.16 SharPersist

它是用C＃为FireEye Red Team编写的Windows持久性工具包。它通过几种方法来提供持久性，例如修改注册表运行键，将有效负载添加到启动文件夹以及添加在每次启动时运行的新计划任务。

fireeye,“fireeye/SharPersist.”https://github.com/fireeye/SharPersist

MITRE ATT&CK Techniques   T1112 Modify Registry  T1546.015 Event Triggered Execution: Component ObjectModel Hijacking  T1547.001 Boot or Logon Autostart Execution: RegistryRun Keys / Startup Folder  T1047 Windows Management Instrumentation  T1053.005 Scheduled Task/Job: Scheduled Task

3.17SharPivot

SharPivot是一个.NET控制台应用程序。这个红色团队工具利用DCOM（分布式组件对象模型）在远程目标上执行命令以进行横向移动.

MITRE ATT&CK Techniques  T1021.003 Remote Services: Distributed ComponentObject Model  T1559.001 Inter-Process Communication: ComponentObject Model  T1059.003 Command and Scripting Interpreter: WindowsCommand Shell

3.18 SharpSchTask

这是一个用C＃编写的持久性工具，它利用Windows的计划任务功能。

MITRE ATT&CK Techniques  Scheduled Task/Job: Scheduled Task

3.19 SharpStomp

SharpStomp是C＃实用程序，可用于修改文件的创建，最后访问和最后写入时间。换句话说，它是一个时间戳记工具。

MITRE ATT&CK Techniques  T1070.006 Indicator Removal on Host: Timestomp

3.20 SinfulOffice

此工具用于使用OLE （对象链接和嵌入）功能创建恶意的Microsoft Office文档。

3.21 WildChild

WildChild是一个生成器工具，用于创建恶意的HTA （HTML应用程序）文件。Microsoft HTML应用程序主机（Mshta .exe）运行HTA文件。

MITRE ATT&CK Techniques  T1218.005 Signed Binary Proxy Execution: Mshta

3.22 WMIRunner

该工具用于运行WMI命令。

MITRE ATT&CK Techniques  T1047 Windows Management Instrumentation

3.23 WMISharp

该工具包括 Red Team参与中使用的WMI命令。

MITRE ATT&CK Techniques  T1047 Windows Management Instrumentation

3.24 WMISpy

WMISpy工具使用多个WMI类，例如Win32NetworkLoginProfile，MSFTNetNeighbor，Win32IP4RouteTable，Win32DCOMApplication，Win32SystemDriver，Win32Share和Win32_Process进行侦察和横向移动。

MITRE ATT&CK Techniques  T1047 Windows Management Instrumentation  T1021.003 Remote Services: Distributed ComponentObject Model

4. 没有足够数据进行分析的工具

FireEye针对以下工具发布的Yara规则特定于该工具的ProjectGuid。我们希望FireEye发布有关此工具的更详细的对策。

1. AllTheThings

2. CoreHound

3. Justask

4. PrepShellCode

5. Revolver

6. SharpGenerator

7. SharpGrep

8. SharpSack

9. SharpSectionInjection

10. SharPy

 

有多个工具标记为开源，是因为它并不是在FireEye的官方Github库。但作者可能是员工，如：med0x2e，就职于FireEye旗下的Mandiant公司。

工具名称	用途	是否开源
ADPASSHUNT	凭证窃取工具，用于搜寻Active Directory凭证。	二次开发
ALLTHETHINGS	未知	自研
BEACON	基于Cobalt Strike的Beacon	二次开发
BELTALOWDA	进行了各种面向安全性的主机“安全检查”	开源
COREHOUND	未知	自研
DSHELL	D语言编写的后门	自研
DTRIM	C＃编写的一个后利用工具	二次开发
DUEDLLIGENCE	shellcode运行器框架	自研
EWSRT	攻击Exchange服务器	二次开发
EXCAVATOR	LSASS内存中转储凭证	自研
FLUFFY	进行Kerberoasting攻击并提取Kerberos票证	二次开发
G2JS	二进制转JS脚本的工具	开源
GETDOMAINPASSWORDPOLICY	获取Active Directory域的密码策略	自研
GPOHUNT	检索组策略配置	自研
IMPACKETOBF	混淆的Impacket实用程序的集合	二次开发
IMPACKETOBF (Smbexec)	混淆的Impacket实用程序的集合(Smbexec)	二次开发
IMPACKETOBF (Wmiexec)	混淆的Impacket实用程序的集合(Wmiexec)	二次开发
INVEIGHZERO	欺骗者和中间人（MitM）攻击工具	开源
JUSTASK	未知	自研
KEEFARCE	从内存中提取KeePass 2.x密码	开源
KEEPERSIST	用于权限维持	自研
LNKSMASHER	LNK格式恶意代码生成工具	自研
LUALOADER	加载用Lua语言编写的任意代码	自研
MATRYOSHKA	用Rust编程语言编写的多阶段进程注入工具。	自研
MEMCOMP	MemComp工具用于内存中编译。	自研
MOFCOMP	Windows内置的工具	自研
MSBUILDME	用于编译和执行代码，并绕过应用程序白名单（AWL ）	自研
NETASSEMBLYINJECT	将C＃.NET程序集注入到任意Windows进程中	二次开发
NETSHSHELLCODERUNNER	使用Netsh.exe执行.dll文件	自研
NOAMCI	绕过通过Assembly.Load（）加载.NET tradecraft时触发的AMSI检测。	开源
PGF	后门利用框架	自研
PREPSHELLCODE	未知	自研
PUPPYHOUND	域内信息收集工具	二次开发
PXELOOT	发现和利用Windows部署服务中的错误配置。	自研
REDFLARE	后门利用框架	自研
REDFLARE (Gorat)	使用Golang编程语言编写的后门	自研
RESUMEPLEASE	Microsoft  Office宏恶意软件模板	自研
REVOLVER	未知	自研
RUBEUS	用于原始Kerberos交互和滥用的开源C＃工具箱。	开源
SAFETYKATZ	Mimikatz和.NET PE加载程序的结合	二次开发
SHARPERSIST	Windows持久性工具包	开源
SHARPGENERATOR	未知	自研
SHARPGREP	未知	自研
SHARPIVOT	利用DCOM在远程目标上执行命令以进行横向移动	自研
SHARPSACK	未知	自研
SHARPSCHTASK	利用Windows的计划任务功能的持久性工具	自研
SHARPSECTIONINJECTION	未知	自研
SHARPSTOMP	时间戳修改工具	自研
SHARPUTILS	C＃语言编写的红队实用程序集合	开源
SHARPY	未知	自研
SHARPZEROLOGON	Zerologon漏洞(CVE-2020-1472)利用工具	开源
SINFULOFFICE	使用OLE生成恶意的office文档	自研
TITOSPECIAL	LSASS内存中转储凭证	二次开发
TRIMBISHOP	shellcode注入工具	二次开发
UNCATEGORIZED	进程注入	自研
WEAPONIZE	Windows内置的工具	自研
WILDCHILD	HTA生成器	自研
WMIRUNNER	运行WMI命令	自研
WMISHARP	WMI命令	自研
WMISPY	WMI侦察和横向移动	自研

参考文献

[1]“LOLBAS.”

https://lolbas-project.github.io

[2]“APT29.”

https://attack.mitre.org/groups/G0016/

[3] E. Nakashima and J.Marks, “Spies with Russia’s foreign intelligence service believed to havehacked a top American cybersecurity firm and stolen its sensitive tools,” The Washington Post, The WashingtonPost

https://www.washingtonpost.com/national-security/leading-cybersecurity-firm-fireeye-hacked/2020/12/08/a3369aaa-3988-11eb-98c4-25dc9f4987e8_story.html

[4] fireeye, “fireeye/redteamtoolcountermeasures.”

https://github.com/fireeye/redteamtoolcountermeasures

[5] “[No title].”

https://raw.githubusercontent.com/fireeye/redteamtoolcountermeasures/master/rules/ADPASSHUNT/production/yara/APTHackToolMSILADPassHunt_2.yar

[6] Chris and V. my C.Profile, “GPP Password Retrieval with PowerShell.”

http://obscuresecurity.blogspot.com/2012/05/gpp-password-retrieval-with-powershell.html

[7] PowerShellMafia, “PowerShellMafia/PowerSploit.”

https://github.com/PowerShellMafia/PowerSploit

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月，是山石网科的信息安全智库部门，其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室，以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作，为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩，网安中国行第一名，连续两届红帽杯冠军、网鼎杯线上第一名，在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩，每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 [email protected]

本文始发于微信公众号（山石网科安全技术研究院）：FireEye的RedTeam工具使用的战术，技术和程序（TTP）分析（翻译）