原文来自Picus安全的博客,略有修改。
摘要
在本文中,我们分析了从FireEye Red Team军火库中盗取的60种工具,以了解此漏洞的影响。我们发现:
-
43%的被盗工具是使用已知攻击技术的公开可用工具。
-
FireEye内部开发了40%的工具。这些工具利用了已知的对抗技术。
-
由于FireEye没有共享有关这些工具的足够详细信息,因此无法识别17%的被盗工具。根据它们的名称,我们认为这些未知工具中的大多数也都是公开可用工具的略微修改版本。
FireEye漏洞中的被盗工具和攻击利用已知的攻击技术。我们的分析表明,这种违规行为不会对组织产生重大影响。但是,仍应针对被盗工具采取对策,因为攻击者可能会使用它们。
被盗的红队工具
FireEye尚未分享有关被盗的红色团队工具做什么的详细信息。Picus Labs的Red and Blue Team分析人员分析了这些被盗用的工具,以揭示这些工具的功能和可能的影响。
我们将这些工具分为四类:
-
基于开源项目的工具:这些红色团队工具是开源工具的略微修改版本。
-
基于内置Windows二进制文件的工具:这些工具使用称为LOLBIN[1]的内置Windows二进制文件。
-
Fireeye内部自研的Red Team开发的工具:这些工具是专门为FireEye的Red Team使用而开发的。
-
没有足够数据进行分析的工具:没有足够的数据来分析这些工具。FireEye针对以下工具发布的Yara规则特定于该工具的ProjectGuid。
下图显示了根据上述类别被盗的红色团队工具的分布。
被盗的漏洞
除了红色团队工具外,还存在受事件影响的漏洞payload。payload泄漏会利用以下漏洞。根据FireEye的报告,泄漏的payload不包括0day漏洞利用。
|
CVE编号 |
漏洞类型 |
|
CVE-2014-1812 |
特权提升 |
|
CVE-2016-0167 |
特权提升 |
|
CVE-2017-11774 |
远程执行代码 |
|
CVE-2018-13379 |
预认证任意文件读取 |
|
CVE-2018-15961 |
远程执行代码 |
|
CVE-2019-0604 |
远程执行代码 |
|
CVE-2019-0708 |
远程执行代码 |
|
CVE-2019-11510 |
预认证任意文件读取 |
|
CVE-2019-11580 |
远程执行代码 |
|
CVE-2019-19781 |
远程执行代码 |
|
CVE-2019-3398 |
认证的远程执行代码 |
|
CVE-2019-8394 |
预认证任意文件上传 |
|
CVE-2020-0688 |
远程执行代码 |
|
CVE-2020-1472 |
特权提升 |
|
CVE-2018-8581 |
特权提升 |
|
CVE-2020-10189 |
远程执行代码 |
下图显示了根据漏洞类型的漏洞分布:
嫌疑犯
FireEye经常与俄罗斯的威胁团体打交道,是一家与APT团体和国家赞助的威胁团体作战的网络安全公司。根据《华盛顿邮报》的报道,APT29(也称为YTTRIUM,The Dukes,Cozy Bear和CozyDuke)[2]实施了此次针对FireEye的破坏[3] 。但是,这里没有证据证明这一点。
蓝队建议
Picus Labs的蓝色小组准备了一系列建议,以防止和检测被盗的工具和漏洞。
1. 缓解漏洞
使用漏洞扫描和监视工具,针对上一节中列出的漏洞进行系统评估。如果您尚未修补,则必须修复它们,并应检查它们是否在系统中被滥用。
2. 危害评估
您可以使用FireEye[4]发布的Yara规则对系统进行危害评估。要利用Yara规则,您可以使用开源的Yara扫描工具或企业产品并将其分发到系统上的端点,然后添加规则并获得结果。此外,您可以使用Yara规则中包含的IoC,并在您的SIEM环境中搜索它们。
3. 利用IOC
为了防止和检测将来的相关威胁,您可以将此报告中提供的IOC添加到您的安全产品中,例如EDR,EPP和SIEM。但是,请记住,对手可以轻松更改这些IoC。
4. 利用Snort规则
多数网络安全产品都支持Snort规则。您可以将已发布的Snort规则添加到安全设备[4]。如果您已经在使用Snort,则可以检查当前规则是否最新。
5. 更新您的安全产品
安全供应商正在发布新的签名和规则集,其中包括针对被盗工具的对策。更新您的安全产品及其规则和签名集。
6. 使用OpenIOC进行搜索
FireEye以OpenIoC格式发布了一些对策。您可以使用IoC编辑器开发检测和搜寻规则,将这些规则添加到安全设备中。
工具的详细分析
1. 基于开源项目的工具:
这些红色团队工具是基于开源工具稍作修改的版本。
1.1 ADPassHunt
这是一个凭证窃取工具,用于搜寻ActiveDirectory凭证。该工具的YARA规则[5]中有两个引人注目的字符串:Get-GPPPasswords和Get-GPPAutologons。Get-GPPPassword 是一个PowerShell脚本,用于检索通过组策略首选项(GPP)[6]推送的帐户的明文密码和其他信息。Get-GPPAutologons 是另一个PowerShell脚本,可从通过GPP推送的自动登录条目中检索密码。这些脚本在PowerSploit中用作功能,PowerSploit是将PowerShell模块和脚本结合在一起的进攻性安全框架[7] 。您可以阅读我们的博客文章查找有关OS凭证转储技术的更多信息。
| MITRE ATT&CK Techniques T1003.003 OS Credential Dumping: NTDS T1552.06 Unsecured Credentials: Group PolicyPreferences |
1.2 Beacon
这个红队工具基于Cobalt Strike Beacon。Beacon是Cobalt Strike的payload,用于实现多个控制目标,如持久性,执行,特权提升,凭证转储,横向移动以及通过HTTP,HTTPS,DNS,SMB和TCP协议进行命令和控制(C2)通信。根据FireEye发布的对策,Beacon使用HTTP,HTTPS和DNS。Beacon利用内置的Windows二进制文件(例如msbuild.exe 、Microsoft.Workflow.Compiler.exe和regsvr32.exe)来执行任意有效负载以及searchindexer.exe进行流程注入以逃避防御。它通过伪装重命名这些二进制文件以避免基于名称的检测规则。您可以阅读我们的博客文章,以了解有关伪装技术的更多信息。
Beacon Covert C2 Payload - Cobalt Strike.https://www.cobaltstrike.com/help-beacon
| MITRE ATT&CK Techniques T1071.001 Application Layer Protocol: Web Protocols T1029 Scheduled Transfer T1036.003 Masquerading: Rename System Utilities T1036.004 Masquerading: Task or Service T1036.005 Masquerading: Match Legitimate Name orLocation T1574.002 Hijack Execution Flow: DLL Side-Loading T1047 Windows Management Instrumentation T1072 Software Deployment Tools T1059.003 Command and Scripting Interpreter: WindowsCommand Shell |
1.3 Beltalowda
Beltalowda是一个基于开源实用程序SeatBelt的红队工具。SeatBelt从进攻性和防御性安全角度进行了各种面向安全性的主机“安全检查”。
GhostPack,“GhostPack/Seatbelt.”https://github.com/GhostPack/Seatbelt
1.4 Dtrim
Dtrim是修改后的版本SharpSploit ,这是C#编写的一个开源.NET后渗透利用库。SharpSploit移植了PowerShell后渗透利用框架(如PowerSploit)和其他工具(如Mimikatz)的模块。
cobbr, “cobbr/SharpSploit.” https://github.com/cobbr/SharpSploit
1.5 EWS-RT
EWS-RT基于开源PowerShell工具RT-EWS,该工具是利用EWS(Exchange Web Services)API的几个cmdlet在Microsoft Exchange Server(包括Office365和Windows Server)上执行特定的枚举/利用任务。
med0x2e, “med0x2e/RT-EWS.”https://github.com/med0x2e/RT-EWS
1.6 Fluffy
Fluffy是Rubeus的修改版本,它是用于原始Kerberos交互和滥用的开源C#工具箱。红色团队使用Rubeus进行Kerberoasting攻击并提取Kerberos票证。
GhostPack, “GhostPack/Rubeus.” https://github.com/GhostPack/Rubeus
| MITRE ATT&CK Techniques T1558.003 Steal or Forge Kerberos Tickets:Kerberoasting “Steal or Forge Kerberos Tickets: Kerberoasting.”https://attack.mitre.org/techniques/T1558/003/ |
1.7 G2JS
G2JS(GadgetToJScript)是用于生成.NET序列化小工具的工具,当使用基于JS / VBS / VBA的脚本中的BinaryFormatter反序列化时,该工具可以触发.NET程序集的加载/执行。。G2JS的创建主要是为了在红队参与期间自动执行Microsoft Windows脚本宿主(WSH)脚本武器化。
med0x2e, “med0x2e/GadgetToJScript.”https://github.com/med0x2e/GadgetToJScript
| MITRE ATT&CK Techniques T1059.005 Command and Scripting Interpreter: VisualBasic T1059.007 Command and Scripting Interpreter:JavaScript/JScript |
1.8 ImpacketObf
ImpacketObf(ImpacketObfuscation)是混淆的Impacket实用程序的集合。Impacket是Python类的开放源代码集合,用于处理网络协议。
SecureAuthCorp, “SecureAuthCorp/impacket.”https://github.com/SecureAuthCorp/impacket
1.9 ImpacketOBF (SMBExec)
该工具基于Impacket的 smbexec .py工具。
1.10 ImpacketOBF (WMIExec)
该工具基于Impacket的 wmiexec .py工具。
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation |
1.11InveighZero
InveighZero是一个开源的欺骗者和中间人(MitM)攻击工具,旨在协助红色团队和渗透测试人员。它可以欺骗LMNR,NBNS,mDNS,DNS和DHCPv6协议。
Kevin-Robertson,“Kevin-Robertson/InveighZero.” https://github.com/Kevin-Robertson/InveighZero
| MITRE ATT&CK Techniques T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoningand SMB Relay |
1.12 KeeFarce
KeeFarce是一个开放源代码工具,可以从内存中提取KeePass 2.x密码数据库信息。它使用DLL注入在正在运行的KeePass进程的上下文中执行代码。
denandz, “denandz/KeeFarce.” https://github.com/denandz/KeeFarce
| MITRE ATT&CK Techniques T1555.001 Process Injection: Dynamic-link LibraryInjection |
1.13 NetAssemblyInject
该工具将.NET程序集注入到任意Windows进程中。它基于开放源代码工具NET-Assembly-Inject-Remote。
med0x2e,“med0x2e/NET-Assembly-Inject-Remote.” https://github.com/med0x2e/NET-Assembly-Inject-Remote
1.14 NoAmci
NoAmci是一个开放源码的工具,使用DInvoke修补AMSI.dll到旁路AMSI (Windows Antimalware Scan Interface)检测。
med0x2e, “med0x2e/NoAmci.” https://github.com/med0x2e/NoAmci
1.15 PuppyHound
PuppyHound是开源工具SharpHound的修改版本。它是基于BloodHound项目的数据收集器。
BloodHoundAD,“BloodHoundAD/SharpHound3.” https://github.com/BloodHoundAD/SharpHound3
BloodHoundAD,“BloodHoundAD/BloodHound.” https://github.com/BloodHoundAD/BloodHound
1.16 Rubeus
Rubeus是用于原始Kerberos交互和滥用的开源工具箱。红队使用Rubeus进行Kerberoasting攻击并提取Kerberos票证。
GhostPack, “GhostPack/Rubeus.” https://github.com/GhostPack/Rubeus
| MITRE ATT&CK Techniques T1558.003 Steal or Forge Kerberos Tickets:Kerberoasting |
1.17 SafetyKatz
SafetyKatz是Mimikatz和.NET PE加载程序的结合。它创建LSASS的小型转储,并使用PELoader加载自定义版本的Mimikatz以进行凭证转储。
GhostPack,“GhostPack/SafetyKatz.”https://github.com/GhostPack/SafetyKatz
| MITRE ATT&CK Techniques T1003.001 OS Credential Dumping: LSASS Memory |
1.18SharpUtils
它是用C#语言编写的红队实用程序的开源集合。
IllidanS,“IllidanS4/SharpUtils.”https://github.com/IllidanS4/SharpUtils
1.19 SharpZeroLogon
它是Zerologon漏洞(CVE-2020-1472)的一种开源漏洞。它利用Netlogon中的加密漏洞绕过身份验证。
nccgroup, “nccgroup/nccfsas.”https://github.com/nccgroup/nccfsas
1.20 TitoSpecial
TitoSpecial基于开源工具AndrewSpecial ,它是一个凭据窃取者。它从LSASS内存中转储凭证。我们在“凭据转储”博客解释了此技术。
| MITRE ATT&CK Techniques T1003.001 OS Credential Dumping: LSASS Memory |
1.21 TrimBishop
该工具基于开源工具RuralBishop,shellcode注入工具。
rasta-mouse,“rasta-mouse/RuralBishop.”https://github.com/rasta-mouse/RuralBishop
2. 基于内置Windows二进制文件的工具
这些工具使用内置的Windows二进制文件,称为LOLBINs (Living Off the LandBinaries)。
2.1 DueDLLigence
DueDLLigence是先前由FireEye发布的shellcode运行器框架。红队将其用于应用程序白名单绕过和DLL侧面加载。它采用内置的Windows Control.exe文件(Windows控制面板),Rasautou.exe (远程访问拨号器),以及msiexec.exe文件(Microsoft Installer Executable),以旁路应用。
fireeye, “fireeye/DueDLLigence.”https://github.com/fireeye/DueDLLigence
| MITRE ATT&CK Techniques T1218.002 Signed Binary Proxy Execution: Control Panel T1218.007 Signed Binary Proxy Execution: Msiexec |
2.2 MSBuildMe
这个红色团队工具基于MSBuild(Microsoft Build Engine),它是一个用于构建应用程序的平台。它用于编译和执行代码,并绕过应用程序白名单(AWL )。
ghogen,“MSBuild.”
https://docs.microsoft.com/en-us/visualstudio/msbuild/msbuild
| MITRE ATT&CK Techniques T1127.001 Trusted Developer Utilities Proxy Execution:MSBuild |
2.3 NetshShellCodeRunner
该工具基于Netsh .exe,这是Windows工具,用于处理网络接口设置。对手和红色团队使用Netsh.exe执行.dll文件。
| MITRE ATT&CK Techniques T1546.007 Event Triggered Execution: Netsh Helper DLL |
2.4 Uncategorized
这是一组工具,这些工具利用内置的Windows二进制文件dism.exe,searchprotocolhost.exe和werfault .exe进行进程注入。
| MITRE ATT&CK Techniques T1055 Process Injection |
2.5 Weaponize
该工具使用内置的Windows二进制TSTheme.exe(TSTheme Server Module)。
3.Fireeye的红色团队内部开发的工具
这些工具是专门为FireEye的Red Team使用而开发的。
3.1 DShell
DShell红队工具是用D编程语言编写的后门程序。其有效负载以Base64格式编码。根据DShell使用的Windows函数,我们猜测它使用进程注入技术将其有效负载注入到合法进程中。
3.2Excavator
这个红色团队工具可以直接或通过其服务转储流程。红队使用它从LSASS内存中转储凭证。您可以阅读我们的凭据转储博客以了解此技术的详细信息。
| MITRE ATT&CK Techniques T1003.001 OS Credential Dumping: LSASS Memory |
3.3 GetDomainPasswordPolicy
它是一种侦查工具,可获取ActiveDirectory域的密码策略。
3.4 GPOHunt
它是一种检索工具,可检索组策略配置。
3.5 KeePersist
它是为Fireeye的Red Team内部开发的工具,用于持久性。
3.6 LNKSmasher
LNKSmasher是一种可生成恶意软件的工具。LNK文件是用于指向可执行文件的快捷方式文件的文件格式。这个红色团队工具可以在LNK文件中嵌入任意有效载荷。
| MITRE ATT&CK Techniques T1547.009 Boot or Logon Autostart Execution: ShortcutModification T1204.002 User Execution: Malicious File |
3.7 LuaLoader
LuaLoader是一个红色团队工具,可以加载用Lua语言编写的任意代码。它是为Fireeye的Red Team内部开发的工具。
3.8 Matryoshka
Matryoshka是用Rust编程语言编写的工具。这是一个多阶段工具。下载第一阶段的有效负载后,它会通过其删除程序运行第二阶段的恶意软件并安装实际的有效负载。它使用过程挖空技术逃避防御。
|
“ProcessInjection:ProcessHollowing.” https://attack.mitre.org/techniques/T1055/012/ |
3.9MemComp
MemComp工具用于内存中编译。
3.10MOFComp
MOFComp(MOF编译器)是一个内置的Windows工具,该工具分析包含MOF(托管对象格式)语句的文件,并将文件中定义的类和类实例添加到WMI (Windows ManagementInstrumentation)存储库。
stevewhims, “mofcomp.”https://docs.microsoft.com/en-us/windows/win32/wmisdk/mofcomp
| MITRE ATT&CK Techniques T1546.003 Event Triggered Execution: WindowsManagement Instrumentation Event Subscription |
3.11 PGF
PGF是一个后门开发框架,它利用了多个LOLBIN ,例如Netsh ,InstallUtil ,Regasm ,RunDLL32 ,Control和Cstmp.exe
| MITRE ATT&CK Techniques T1218.001 Signed Binary Proxy Execution: Compiled HTMLFile T1218.002 Signed Binary Proxy Execution: Control Panel T1218.003 Signed Binary Proxy Execution: CMSTP T1218.004 Signed Binary Proxy Execution: InstallUtil T1218.005 Signed Binary Proxy Execution: Mshta T1218.007 Signed Binary Proxy Execution: Msiexec T1218.008 Signed Binary Proxy Execution: Odbcconf T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm T1218.010 Signed Binary Proxy Execution: Regsvr32 T1218.011 Signed Binary Proxy Execution: Rundll32 T1216.001 Signed Script Proxy Execution: PubPrn T1548.002 Abuse Elevation Control Mechanism: BypassUser Account Control T1036.005 Masquerading: Match Legitimate Name orLocation T1055 Process Injection T1574.002 Hijack Execution Flow: DLL Search OrderHijacking T1574.002 Hijack Execution Flow: DLL Side-Loading |
3.12 PXELoot
它是一个红色的团队工具,可以发现和利用Windows部署服务(WDS/Windows Deployment Services)中的错误配置。
3.13 RedFlare
RedFlare是Trojan开发框架,包括构建器,控制器,下载器和键盘记录器。它可以为Windows和Linux系统生成木马。
3.14 RedFlare (GoRAT)
GoRAT是使用Golang编程语言编写的RAT(远程访问木马)。
3.15 ResumePlease
它是一个Microsoft Office宏恶意软件模板,其中包含恶意VBA (Visual Basic for Application)代码。
3.16 SharPersist
它是用C#为FireEye Red Team编写的Windows持久性工具包。它通过几种方法来提供持久性,例如修改注册表运行键,将有效负载添加到启动文件夹以及添加在每次启动时运行的新计划任务。
fireeye,“fireeye/SharPersist.”https://github.com/fireeye/SharPersist
| MITRE ATT&CK Techniques T1112 Modify Registry T1546.015 Event Triggered Execution: Component ObjectModel Hijacking T1547.001 Boot or Logon Autostart Execution: RegistryRun Keys / Startup Folder T1047 Windows Management Instrumentation T1053.005 Scheduled Task/Job: Scheduled Task |
3.17SharPivot
SharPivot是一个.NET控制台应用程序。这个红色团队工具利用DCOM(分布式组件对象模型)在远程目标上执行命令以进行横向移动.
| MITRE ATT&CK Techniques T1021.003 Remote Services: Distributed ComponentObject Model T1559.001 Inter-Process Communication: ComponentObject Model T1059.003 Command and Scripting Interpreter: WindowsCommand Shell |
3.18 SharpSchTask
这是一个用C#编写的持久性工具,它利用Windows的计划任务功能。
| MITRE ATT&CK Techniques Scheduled Task/Job: Scheduled Task |
3.19 SharpStomp
SharpStomp是C#实用程序,可用于修改文件的创建,最后访问和最后写入时间。换句话说,它是一个时间戳记工具。
| MITRE ATT&CK Techniques T1070.006 Indicator Removal on Host: Timestomp |
3.20 SinfulOffice
此工具用于使用OLE (对象链接和嵌入)功能创建恶意的Microsoft Office文档。
3.21 WildChild
WildChild是一个生成器工具,用于创建恶意的HTA (HTML应用程序)文件。Microsoft HTML应用程序主机(Mshta .exe)运行HTA文件。
| MITRE ATT&CK Techniques T1218.005 Signed Binary Proxy Execution: Mshta |
3.22 WMIRunner
该工具用于运行WMI命令。
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation |
3.23 WMISharp
该工具包括 Red Team参与中使用的WMI命令。
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation |
3.24 WMISpy
WMISpy工具使用多个WMI类,例如Win32NetworkLoginProfile,MSFTNetNeighbor,Win32IP4RouteTable,Win32DCOMApplication,Win32SystemDriver,Win32Share和Win32_Process进行侦察和横向移动。
| MITRE ATT&CK Techniques T1047 Windows Management Instrumentation T1021.003 Remote Services: Distributed ComponentObject Model |
4. 没有足够数据进行分析的工具
FireEye针对以下工具发布的Yara规则特定于该工具的ProjectGuid。我们希望FireEye发布有关此工具的更详细的对策。
-
AllTheThings
-
CoreHound
-
Justask
-
PrepShellCode
-
Revolver
-
SharpGenerator
-
SharpGrep
-
SharpSack
-
SharpSectionInjection
-
SharPy
5. 表格统计
有多个工具标记为开源,是因为它并不是在FireEye的官方Github库。但作者可能是员工,如:med0x2e,就职于FireEye旗下的Mandiant公司。
| 工具名称 | 用途 | 是否开源 |
| ADPASSHUNT | 凭证窃取工具,用于搜寻Active Directory凭证。 | 二次开发 |
| ALLTHETHINGS | 未知 | 自研 |
| BEACON | 基于Cobalt Strike的Beacon | 二次开发 |
| BELTALOWDA | 进行了各种面向安全性的主机“安全检查” | 开源 |
| COREHOUND | 未知 | 自研 |
| DSHELL | D语言编写的后门 | 自研 |
| DTRIM | C#编写的一个后利用工具 | 二次开发 |
| DUEDLLIGENCE | shellcode运行器框架 | 自研 |
| EWSRT | 攻击Exchange服务器 | 二次开发 |
| EXCAVATOR | LSASS内存中转储凭证 | 自研 |
| FLUFFY | 进行Kerberoasting攻击并提取Kerberos票证 | 二次开发 |
| G2JS | 二进制转JS脚本的工具 | 开源 |
| GETDOMAINPASSWORDPOLICY | 获取Active Directory域的密码策略 | 自研 |
| GPOHUNT | 检索组策略配置 | 自研 |
| IMPACKETOBF | 混淆的Impacket实用程序的集合 | 二次开发 |
| IMPACKETOBF (Smbexec) | 混淆的Impacket实用程序的集合(Smbexec) | 二次开发 |
| IMPACKETOBF (Wmiexec) | 混淆的Impacket实用程序的集合(Wmiexec) | 二次开发 |
| INVEIGHZERO | 欺骗者和中间人(MitM)攻击工具 | 开源 |
| JUSTASK | 未知 | 自研 |
| KEEFARCE | 从内存中提取KeePass 2.x密码 | 开源 |
| KEEPERSIST | 用于权限维持 | 自研 |
| LNKSMASHER | LNK格式恶意代码生成工具 | 自研 |
| LUALOADER | 加载用Lua语言编写的任意代码 | 自研 |
| MATRYOSHKA | 用Rust编程语言编写的多阶段进程注入工具。 | 自研 |
| MEMCOMP | MemComp工具用于内存中编译。 | 自研 |
| MOFCOMP | Windows内置的工具 | 自研 |
| MSBUILDME | 用于编译和执行代码,并绕过应用程序白名单(AWL ) | 自研 |
| NETASSEMBLYINJECT | 将C#.NET程序集注入到任意Windows进程中 | 二次开发 |
| NETSHSHELLCODERUNNER | 使用Netsh.exe执行.dll文件 | 自研 |
| NOAMCI | 绕过通过Assembly.Load()加载.NET tradecraft时触发的AMSI检测。 | 开源 |
| PGF | 后门利用框架 | 自研 |
| PREPSHELLCODE | 未知 | 自研 |
| PUPPYHOUND | 域内信息收集工具 | 二次开发 |
| PXELOOT | 发现和利用Windows部署服务中的错误配置。 | 自研 |
| REDFLARE | 后门利用框架 | 自研 |
| REDFLARE (Gorat) | 使用Golang编程语言编写的后门 | 自研 |
| RESUMEPLEASE | Microsoft Office宏恶意软件模板 | 自研 |
| REVOLVER | 未知 | 自研 |
| RUBEUS | 用于原始Kerberos交互和滥用的开源C#工具箱。 | 开源 |
| SAFETYKATZ | Mimikatz和.NET PE加载程序的结合 | 二次开发 |
| SHARPERSIST | Windows持久性工具包 | 开源 |
| SHARPGENERATOR | 未知 | 自研 |
| SHARPGREP | 未知 | 自研 |
| SHARPIVOT | 利用DCOM在远程目标上执行命令以进行横向移动 | 自研 |
| SHARPSACK | 未知 | 自研 |
| SHARPSCHTASK | 利用Windows的计划任务功能的持久性工具 | 自研 |
| SHARPSECTIONINJECTION | 未知 | 自研 |
| SHARPSTOMP | 时间戳修改工具 | 自研 |
| SHARPUTILS | C#语言编写的红队实用程序集合 | 开源 |
| SHARPY | 未知 | 自研 |
| SHARPZEROLOGON | Zerologon漏洞(CVE-2020-1472)利用工具 | 开源 |
| SINFULOFFICE | 使用OLE生成恶意的office文档 | 自研 |
| TITOSPECIAL | LSASS内存中转储凭证 | 二次开发 |
| TRIMBISHOP | shellcode注入工具 | 二次开发 |
| UNCATEGORIZED | 进程注入 | 自研 |
| WEAPONIZE | Windows内置的工具 | 自研 |
| WILDCHILD | HTA生成器 | 自研 |
| WMIRUNNER | 运行WMI命令 | 自研 |
| WMISHARP | WMI命令 | 自研 |
| WMISPY | WMI侦察和横向移动 | 自研 |
参考文献
[1]“LOLBAS.”
https://lolbas-project.github.io
[2]“APT29.”
https://attack.mitre.org/groups/G0016/
[3] E. Nakashima and J.Marks, “Spies with Russia’s foreign intelligence service believed to havehacked a top American cybersecurity firm and stolen its sensitive tools,” The Washington Post, The WashingtonPost
https://www.washingtonpost.com/national-security/leading-cybersecurity-firm-fireeye-hacked/2020/12/08/a3369aaa-3988-11eb-98c4-25dc9f4987e8_story.html
[4] fireeye, “fireeye/redteamtoolcountermeasures.”
https://github.com/fireeye/redteamtoolcountermeasures
[5] “[No title].”
https://raw.githubusercontent.com/fireeye/redteamtoolcountermeasures/master/rules/ADPASSHUNT/production/yara/APTHackToolMSILADPassHunt_2.yar
[6] Chris and V. my C.Profile, “GPP Password Retrieval with PowerShell.”
http://obscuresecurity.blogspot.com/2012/05/gpp-password-retrieval-with-powershell.html
[7] PowerShellMafia, “PowerShellMafia/PowerSploit.”
https://github.com/PowerShellMafia/PowerSploit
山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。
自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。
如需帮助请咨询 [email protected]
本文始发于微信公众号(山石网科安全技术研究院):FireEye的RedTeam工具使用的战术,技术和程序(TTP)分析(翻译)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论