FireEye泄露工具简介及相关IOC披露
2020年12月8日,美国著名网络安全公司FireEye发布通告称,其被国家级APT组织入侵,并窃取了其红队在进行渗透测试过程中使用的工具合集。并提到了该国家级APT组织主要目的是查看火眼的客户资料,同时有新闻报道称FBI将此事件交给对俄分析专家组。
被窃取的红队工具的范围从用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。FireEye声称泄漏工具不包含0day漏洞利用工具,目前尚未看到任何攻击者泄露或使用这些被盗取的红队工具。但为了防止潜在攻击者利用被窃取的红队工具进行网络攻击,已针对Snort、Yara、ClamAV和OpenIOC等公开可用技术在GitHub上发布了300多种对策,根据这些策略可以检测到相关攻击工具的活动。公布的红队工具检测规则中分为60个大类,304个小类。从检测规则的名称上看,对应的红队工具除1个macOS系统后门工具和2个Linux木马外均应用于Windows系统。规则文件主要采用了Snort、Yara、ClamAV和OpenIOC四种开源安全检测框架规则编写,其中包括29个Snort规则文件、164个Yara规则文件、23个ClamAV规则文件、88个OpenIOC规则文件。
根据检测规则,红队工具简介如下:
1)ADPASSHUNT,在GPP、Autoruns以及AD对象中窃取AD凭据;
2)BEACON,对Cobalt Strike的定制化配置和扩展;
3)DUEDLLIGENCE,包含稳定的进程注入以及3种DLL加载方法的加载器;
4)PFG, PGF全称为PayloadGenerationFramework(payload生成框架),包含了一系列无文件执行方法以及利用正常程序侧加载DLL执行恶意代码的方法;
5)LNKSMASHER:链接钓鱼攻击生成框架;
6)MATRYOSHKA, 将PE文件转换为shellcode,用process hollowing的方法加载;
7)MEMCOMP, 使用内存中编译技术的加载器;
8)MOFCOMP, 从已知模板中创建的可疑WMI Managed Object Format (MOF)文件;
9)NOAMCI, 利用DInvoke进行Amsi Bypass;
10)PUPPYHOUND, 由开源的域内信息收集工具SharpHound3修改而来,名称与特征字符串改为PuppyHound;
11)PXELOOT: 帮助发现与利用Windows Deployment Services(WDS)中的配置错误;
12)REDFLARE, 未公开的支持Windows/Linux/Mac全平台的C2框架;
13)REDFLARE (Gorat), 使用golang开发的RedFlare受控端RAT;
14)SHARPUTILS, 辅助.NET武器化开发的第三方库;
15)RUBEUS, 基于.NET的操作Kerberos的工具集;
16)SAFETYKATZ, 基于.NET的Mimikatz修改版;
17)SHARPY, 基于.NET的加载器;
18)SHARPERSIST, 集成一系列方法的.NET持久化框架:注册 COM CLISID、热键持久化、服务失败滥用持久化、利用keepass和tortoisesvn等第三方程序;
19)SHARPIVOT, 集成一系列方法的.NET Pivot 框架:计划任务、WMI、RPC、谷歌更新服务劫持、潜在句柄污染(Possible Handler Poisoning);
20)SHARPSCHTASK, 基于.NET的计划任务相关工具;
21)SHARPZEROLOGON, 基于.NET的ZEROLOGON漏洞(CVE-2020-1472)利用工具;
22)WILDCHILD: 基于.NET的HTA代码执行器生成工具(支持VBScript与JScript);
恶意软件 MATRYOSHKALNKSMASHERPUPPYHOUNDSAFETYKATZADPASSHUNTDUEDLLIGENCEPXELOOTMEMCOMPREDFLARESHARPERSISTSHARPYSHARPIVOTWILDCHILDHARPZEROLOGONSHARPUTILSRUBEUSBEACONNOAMCIREDFLAREMOFCOMP
情报来源: 天际友盟
2020/12/10
更新来源: 天际友盟