Украденное оружие FireEye


Предыдущая | Следующая

8 декабря компания FireEye сообщила, что в результате успешной атаки высококвалифицированной APT-группировке удалось получить доступ к инструментам, которые компания использовала как арсенал Red Team команды.

Невольно новость отсылает к 2017 году, когда в сеть попал инструментарий ЦРУ и АНБ для взлома инфраструктуры. Эти утечки подарили миру большое количество разнообразных утилит: от эксплойтов для домашних роутеров и Smart TV до серверов управления зараженными хостами. Наибольший резонанс произвел эксплоит EternalBlue, использовавшийся в шифровальщиках WannaCry, Petya, NotPetya, которые парализовали деятельность компаний по всему миру.
Возвращаясь к текущему кейсу, компания FireEye уверяет, что в составе утекших данных нет 0-day эксплойтов и инструментов эксплуатации неизвестных ранее техник. Также FireEye опубликовала на GitHub набор правил (YARA, Snort, OpenIOC, ClamAV) для детектирования утекшего инструментария.

На основе информации, предоставленной FireEye попробуем разобраться какой арсенал получили злоумышленники в ходе успешной атаки и удалось ли им расширить инструментарий какими-то принципиально новыми средствами.
Итак,

git clone https://github.com/fireeye/red_team_tool_countermeasures

Далее попробуем воссоздать инструментарий, которым пользуется Red Team команда FireEye на разных стадиях развития атаки. Будем рассматривать техники согласно классификатору MITRE ATT&CK
 

Предварительная подготовка вредоносной нагрузки (Resource Development)

 

 

Первоначальный доступ в инфраструктуру (Initial Access)


Эксплойты, применяемые во вредоносных рассылках, требующие действий со стороны пользователей:
 


Эксплоиты для уязвимостей в публичных сетевых сервисах:
 

 

Выполнение вредоносного кода (Execution)

 

 

Закрепление в инфраструктуре (Persistence)

 

 

Получение повышенных привилегий (Privilege Escalation)

 

 

Обход средств обнаружения (Defense Evasion)

 

 

Получение учетных записей (Credential Access)

 

 

Исследование инфраструктуры (Discovery)

 

 

Перемещение по инфраструктуре (Lateral Movement)

 

 

Удаленное управление (Command and Control)

 

 

Вспомогательные утилиты

 

 

Утилиты неизвестного назначения


По предоставленной информации назначение данных утилит понять не удалось.
 

 

Итоги проведенного анализа

 


Факты, которые меня удивили:
 

 

Выводы


Успешная атака на гиганта рынка информационной безопасности несомненно войдет в перечень значимых событий нашей отрасли, но также нужно понимать, что инструментарий Red Team точно не являлся целью атакующих. Компания FireEye выполняла работы для крупных компаний по всему миру а также являлась подрядчиком государственных структур США, таких как Department of Defense, Health and Human Services, Treasury, Homeland Security и др. Данные этих организаций более лакомый кусок для про государственных хакеров чем подборка эксплоитов и утилит.

Как показал анализ, даже публикация утилит в открытом доступе существенно не повлияет на картину рисков для организаций т.к. большая часть арсенала и так доступна злоумышленникам в виде open source проектов.
 

Разбор утилит по техникам MITRE ATT&CK
Execution
  • T1059.001 Command and Scripting Interpreter: PowerShell (Cobalt Strike)
  • T1059.003 Command and Scripting Interpreter: Windows Command Shell (Cobalt Strike, DShell)
  • T1059.005 Command and Scripting Interpreter: Visual Basic (Cobalt Strike)
  • T1059.006 Command and Scripting Interpreter: Python (Cobalt Strike)
  • T1059.007 Command and Scripting Interpreter: JavaScript/JScript (GadgetToJscript)
  • T1106 Native API (Cobalt Strike, DTRIM)
  • T1129 Shared Modules (DueDDLigence)
  • T1203 Exploitation for Client Execution (Expl-CVE-2017-11774, Expl-CVE-2019-0708, Expl-CVE-2019-19781, Expl-CVE-2019-8394)
  • T1569.002 System Services: Service Execution (Cobalt Strike, Impacket-Obfuscation)

Persistence
  • T1053.005 Scheduled Task/Job: Scheduled Task (SharPersist)
  • T1543.003 Create or Modify System Process: Windows Service (Cobalt Strike, SharPersist)
  • T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription (Mofcomp)

Privilege Escalation
  • T1068 Exploitation for Privilege Escalation (Cobalt Strike, Sharpzerologon, Expl- CVE-2014-1812, Expl-CVE-2016-0167, Expl-CVE-2020-1472, Expl-CVE-2018-8581)
  • T1134.001 Access Token Manipulation: Token Impersonation/Theft (Cobalt Strike)
  • T1134.003 Access Token Manipulation: Make and Impersonate Token (Cobalt Strike)
  • T1134.004 Access Token Manipulation: Parent PID Spoofing (Cobalt Strike)

Defense Evasion
  • T1027.005 Obfuscated Files or Information: Indicator Removal from Tools (Cobalt Strike)
  • T1055 Process Injection (Cobalt Strike, NET-Assembly-Inject)
  • T1055.012 Process Injection: Process Hollowing (Cobalt Strike, Matryoshka)
  • T1070.006 Indicator Removal on Host: Timestomp (Cobalt Strike, SharpStomp)
  • T1197 BITS Jobs (Cobalt Strike)
  • T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control (Cobalt Strike) T1562.001 Impair Defenses: Disable or Modify Tools (DTRIM, NoAmci)
  • T1562.002 Impair Defenses: Disable Windows Event Logging (DTRIM)
  • T1572 Protocol Tunneling (Cobalt Strike)

Credential Access
  • T1003 OS Credential Dumping: Security Account Manager (Cobalt Strike, DTRIM, Excavator, Impacket-Obfuscation, SafetyKatz, TitoSpecial)
  • T1110 Brute Force (Rubeus, Fluffy)
  • T1056.001 Input Capture: Keylogging (Cobalt Strike)
  • T1552.006 Unsecured Credentials: Group Policy Preferences (Adpasshunt)
  • T1555 Credentials from Password Stores (Expl-CVE-2018-13379, Expl-CVE-2019-11510)
  • T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Impacket-Obfuscation, InveighZero)
  • T1558 Steal or Forge Kerberos Tickets (DTRIM, Rubeus, Fluffy, Impacket-Obfuscation)
  • T1040 Network Sniffing (Impacket-Obfuscation)
  • T1555.001 Process Injection: Dynamic-link Library Injection (KeeFarce)

Discovery
  • T1007 System Service Discovery (Seatbelt)
  • T1012 Query Registry (Seatbelt)
  • T1016 System Network Configuration Discovery (Cobalt Strike, Seatbelt)
  • T1018 Remote System Discovery (Cobalt Strike)
  • T1033 System Owner/User Discovery (Seatbelt)
  • T1046 Network Service Scanning (Cobalt Strike, DTRIM)
  • T1049 System Network Connections Discovery (Seatbelt)
  • T1057 Process Discovery (Cobalt Strike, DTRIM)
  • T1069.001 Permission Groups Discovery: Local Groups (Seatbelt, DTRIM)
  • T1069.002 Permission Groups Discovery: Domain Groups (CoreHound, DTRIM, PuppyHound, modifiedsharpview)
  • T1082 System Information Discovery (Seatbelt)
  • T1087.001 Account Discovery: Local Account (Seatbelt, DTRIM)
  • T1087.002 Account Discovery: Domain Account (Cobalt Strike, CoreHound, DTRIM, PuppyHound)
  • T1087.002 Account Discovery: Email Account (EWSRT)
  • T1087.004 Account Discovery: Cloud Account (Seatbelt, EWSRT)
  • T1124 System Time Discovery (Seatbelt)
  • T1135 Network Share Discovery (Cobalt Strike, Seatbelt, DTRIM)
  • T1201 Password Policy Discovery (Seatbelt, Getdomainpasswordpolicy)
  • T1217 Browser Bookmark Discovery (Seatbelt)
  • T1518 Software Discovery (Seatbelt)
  • T1482 Domain Trust Discovery (CoreHound, PuppyHound)

Lateral Movement
  • T1021.001 Remote Services: Remote Desktop Protocol (Cobalt Strike)
  • T1021.002 Remote Services: SMB/Windows Admin Shares (Cobalt Strike)
  • T1021.003 Remote Services: Distributed Component Object Model (Cobalt Strike, DTRIM)
  • T1021.004 Remote Services: SSH (Cobalt Strike)
  • T1021.006 Remote Services: Windows Remote Management (Cobalt Strike, DTRIM, Impacket-Obfuscation, WMIRunner)
  • T1047 Windows Management Instrumentation (Cobalt Strike, DTRIM)
  • T1210 Exploitation of Remote Services (Impacket-Obfuscation, Expl-CVE-2018-15961, Expl-CVE-2019-0604, Expl-CVE-2019-0708, Expl-CVE-2019-11580, Expl-CVE-2019-3398, Expl-CVE-2020-0688, Expl-CVE-2020-10189)
  • T1550.002 Use Alternate Authentication Material: Pass the Hash (Cobalt Strike)

Command and Control
  • T1071.001 Application Layer Protocol: Web Protocols (Cobalt Strike)
  • T1071.004 Application Layer Protocol: DNS (Cobalt Strike)
  • T1090.001 Proxy: Internal Proxy (Cobalt Strike)


Сергей Рублев. Директор по развитию Пангео Радар, CISSP

 

https://habr.com/ru/post/532832/