قسمت اول:هک fireeye و تکنیکها و ابزارهای تیم قرمز و دفاع

قسمت اول:هک fireeye و تکنیکها و ابزارهای تیم قرمز و دفاع

اگه تو زمینه امنیت سایبری فعالیت کرده باشید احتمالا اسم شرکت عظمای Fireeye رو شنیدید. شرکتی که در حوزه امنیت سایبری و کشف و پیشگیری حملات سایبری فعالیت داره. فایرآی دفتر اصلیش در Milpitas کالیفرنیا قرار داره و در سال 2004 توسط “اَشار عزیز” بنیانگذاری شده. چند تا شرکت تابعه هم داره که در طول این مدت خریداری کرده از جمله mandiant,verodin,Cloudvisory و … 8 دسامبر 2020 (18 آذر99) این شرکت اعلام کرد که دچار یک حمله پیچیده قرار گرفته و مهاجمین که از اونها به هکرهای حرفه ای یاد کرده تونستن یک سری ابزار تیم قرمز (اگه نمیدونید تیم قرمز و آبی و بنفش و … چیه اند این پست بخونید )رو به سرقت ببرند و در ادامه از نقش مایکروسافت برای شناسایی این حمله یاد شده و در ادامه هم توضیحی مبنی بر مشارکت با FBI برای ردیابی و گرفتن این هکرها شده و رصد اینترنت برای شناسایی مواردی که از این ابزارها استفاده کنند. همچنین چون شرکت یک شرکت حرفه ای هستش کل رولهای شناسایی ابزارهای خودش رو در قالب رولهای yara,snort,claAV گذاشته که اگه احیانا موردی رخ داد با این رولها قابل شناسایی باشه.در این نوشته ها که از وبلاگ شرکت picussecurityبا تغییرات و کامل کردن مباحثش برداشته شده به بررسی ابزارهای تیم قرمز سرقتی می پردازیم و روشهای دفاع که برای تیم آبی و قرمز میتونه جالب باشه. کل نوشته ها به شرح زیر است :قسمت اول : خبر اولیه هک و بررسی ابزارهای تیم قرمز (همین پست )قسمت دوم: ادامه بررسی ابزارهای اولیه قسمت سوم : معرف روشهای دفاعیخبرهای مختلفی از این هک بیرون اومده از جمله اینکه این هک منتسب دادن به تیم های هکری روسیه چون اغلب فایرآی با این گروهها درگیر بوده و بخصوص گروه هکری وابسته به دولت روسیه APT29 که به نامهای YTTRIUM, The Dukes, Cozy Bear, CozyDukeشناخته میشن اما هیچ مدرکی وجود نداره و برخی گمانی زنی ها دیگر ولی 2 نکته در این خصوص مطرحه : اول اینکه نه هکرها و نه شرکت فایرآی توضیح اضافه ای از روش های هک و تکنیکهایی که منجر به این هک عظما شده نداشتن و باید منتظر این گزارش ها باشیم. نکته دوم اینکه در این برهه از زمان ایجاد آمادگی برای جلوگیری از هک شدن شرکتها و سازمانهای خودمون با استفاده از این ابزارهای به سرقت رفته هست. این ابزارها که البته عنوان شده که هیچ کد روز صفرمی نداشتن و یسری ابزار با CVE هایی هست که قبلا منتشر شده هستند.این حمله یادآور حمله shadowBrokers به NSA هستش که بعد اون حمله دنیا با تهدیدات جدی روبرو شد از جمله واناکرای ولی در خصوص این حمله چون آسیب پذیری روز صفرمی نداشتن اغلب شرکتهای امنیتی عنوان کردند که تهدید جدی در حد هک NSA نخواهیم داشت. در ادامه به بررسی 60 نمونه از این ابزارها می پردازیم. طبق بررسی هایی که شرکت picussecurity انجام داده تکنیکهای موجود در ابزارهای به سرقت رفته شامل:43% ابزارهایی با تکنیک های عمومی که در دسترس عموم هستند.40% ابزارهایی که از تکنیکهای عمومی استفاده میکنند اما خود فایرآی اونا رو نوشته.17% ابزارها به دلیل اینکه خود فایرآی جزییاتی از اونها منتشر نداده قابل شناسایی نیستند اما همونطور که قبلا اشاره کردند ابزارها فاقد آسیب پذیری روز صفرام هست بنابراین این احتمال میره که این ابزارها هم از تکنیکهای عمومی با یکسری اصلاحات در اونا ایجاد شده باشند.درصد تکنیکهای مورد استفادهبا توجه به اینکه خود فایرآی جزییاتی از اینکه ابزارها سرقت رفته ،چه کارهایی میکنن و … نداده برای همین محققین تیم های آبی و قرمز با توجه به مستنداتی که از فایرآی منتشر شده تحلیلهایی انجام دادند و اونها رو به 4 دسته طبقه بندی کردند :1- ابزارهای مبتنی بر پروژه های متن باز : این ابزارها نسخه های کمی اصلاح شده از ابزارهای متن باز هستند.2- ابزارهای داخلی ویندوز : ابزارهایی که معروف به LOLBIN هستند.(تکنیکی که از برنامه هایی اجرایی خود ویندوز برای عمل هک استفاده میشه .)3- ابزارهای اختصاصی تیم قرمز فایرآی : ابزارهایی که برای استفاده در تیم قرمز توسط خود فایرآی توسعه داده شده.4- ابزارهایی بدون جزییات بیشتر: این ابزارها مواردی هستند که فایرآی توضیحات زیادی در خصوصشون نداده و توضیحات موجود در رولهای yaraشون هم مرتبط با ProjectGuid ابزارهاست.دسته بندی ابزارهای به سرقت رفتهدر بین این ابزارها 16 آسیب پذیری هم به سرقت رفته که البته اونها هم روز صفری نبودند.1- آسیب پذیری با شناسه CVE-2014-1812 و نوع آسیب پذیری Privilege Escalation و پلتفرم ویندوز با امتیاز CVSS برابر 9 .2- آسیب پذیری با شناسه CVE-2016-0167 و نوع آسیب پذیری Privilege Escalation و پلتفرم ویندوز با امتیاز CVSS برابر 7.8 .3- آسیب پذیری با شناسه CVE-2017-11774 و نوع آسیب پذیری Remote Code Execution و پلتفرم Microsoft Outlook با امتیاز CVSS برابر 7.8 .4- آسیب پذیری با شناسه CVE-2018-13379 و نوع آسیب پذیری Pre-auth Arbitrary File Read و پلتفرم Fortigate SSL VPN با امتیاز CVSS برابر 9.8 .5- آسیب پذیری با شناسه CVE-2018-15961 و نوع آسیب پذیری Remote Code Execution و پلتفرم Adobe ColdFusion با امتیاز CVSS برابر 9.8 .6- آسیب پذیری با شناسه CVE-2019-0604 و نوع آسیب پذیری Remote Code Execution و پلتفرم Microsoft Sharepoint با امتیاز CVSS برابر 9.8.7- آسیب پذیری با شناسه CVE-2019-0708 و نوع آسیب پذیری Remote Code Execution و پلتفرم Windows Remote Desktop Services (RDS) با امتیاز CVSS برابر 9.8.8- آسیب پذیری با شناسه CVE-2019-11510 و نوع آسیب پذیری Pre-auth Arbitrary File Read و پلتفرم Pulse Secure SSL VPN با امتیاز CVSS برابر 10 .9- آسیب پذیری با شناسه CVE-2019-11580 و نوع آسیب پذیری Remote Code Execution و پلتفرم Atlassian Crowd با امتیاز CVSS برابر 9.8 .10- آسیب پذیری با شناسه CVE-2019-19781 و نوع آسیب پذیری Remote Code Execution و پلتفرم Citrix Application Delivery Controller and Citrix Gateway با امتیاز CVSS برابر 9.8 .11- آسیب پذیری با شناسه CVE-2019-3398 و نوع آسیب پذیری Authenticated Remote Code Execution و پلتفرم Confluence با امتیاز CVSS برابر 8.8 .12- آسیب پذیری با شناسه CVE-2019-8394 و نوع آسیب پذیری Pre-auth Arbitrary File Upload و پلتفرم ZoHo ManageEngine ServiceDesk Plus با امتیاز CVSS برابر 6.5 .13- آسیب پذیری با شناسه CVE-2020-0688 و نوع آسیب پذیری Remote Code Execution و پلتفرم Microsoft Exchange با امتیاز CVSS برابر 9.8.14- آسیب پذیری با شناسه CVE-2020-1472 و نوع آسیب پذیری Privilege Escalation و پلتفرم Microsoft Active Directory با امتیاز CVSS برابر 10 .15- آسیب پذیری با شناسه CVE-2018-8581 و نوع آسیب پذیری Privilege Escalation و پلتفرم Microsoft Exchange Server با امتیاز CVSS برابر 7.4 .16- آسیب پذیری با شناسه CVE-2020-10189 و نوع آسیب پذیری Remote Code Execution و پلتفرم ZoHo ManageEngine Desktop Central با امتیاز CVSS برابر 9.8 .اگر در مورد امتیاز Cvss اطلاعی ندارید این پست بخونیدتوزیع نوع آسیب پذیریهاپیشنهاداتی برای تیم آبی :1- با توجه به منتشر شدن آسیب پذیریها سیستمهای خودتون رو با اسکنرهای آسیب پذیری بررسی کنید اگه موردی از لیست 16 تایی وجود داشت اون رفع کنید.2- با رولهای Yara و Snort منتشر شده توسط فایرآی سیستماتون رو اسکن و مونیتور کنید.3- به ابزارهای مونیتورتون مانند EDR و SIEM و … IOCهای منتشر شده رو اضافه کنید تا در آینده اگه بدون تغییری حمله ای صورت بگیره قابل شناسایی باشه . ( با تغییر ابزارها میشه این IOCها رو دور زد)4- سیستم هاتون رو بروزرسانی کنید .1- ابزارهای مبتنی بر پروژه های متن باز:ابزارهایی که با کمی تغییرات در پروژه های متن باز ایجاد شدند.1.1 ابزار ADPassHunt :یک ابزار سرقت گواهینامه در اکتیودایرکتوری است . از قوانین YARA منتشر شده وجود دو رشته Get-GPPAutologons و GPPPasswords . رشته GPPPasswords اشاره به اسکریپت پاورشلی دارد که رمزهای ساده و اطلاعات اکانتهایی موجود در GPP را بدست می آورد و رشته GPPAutologons اشاره به اسکریپت پاورشلی دارد که رمزهای عبور ورودی Autologon را که GPP هستند را بدست می آورد.این توابع در ابزار Powersploit استفاده می شوند.MITRE ATT&CK TechniquesT1003.003 OS Credential Dumping: NTDST1552.06 Unsecured Credentials: Group Policy PreferencesAdPassHunt IOCs590bd7609edf9ea8dab0b5fbc38393a870b329de29385446751ddbca27c26c43015be7ab0d548b895531fba9b03d612e53bd9ff01.2 ابزار Beacon :این ابزار براساس ابزار معروف CobaltStrike ساخته شده است .یک beacon پیلودهای CobaltStrike هستند که مهاجمین برای موارد مختلفی مانند اجرا، افزایش امتیاز کاربری و پایداری و … ایجاد میکنند.طبق اطلاعات منتشر شده از فایرآی این beacon از HTTP, HTTPS, DNS برای ارتباطات و همچنین برنامه های داخلی ویندوز مانند msbuild.exe, Microsoft.Workflow.Compiler.exe, regsvr32.exe برای اجرای پیلودهای خود و از searchindexer.exe برای تزرق پروسس استفاده می کردند.از این برنامه با استفاده از تکنیک masquerading استفاده می شده است .MITRE ATT&CK TechniquesT1071.001 Application Layer Protocol: Web ProtocolsT1029 Scheduled TransferT1036.003 Masquerading: Rename System UtilitiesT1036.004 Masquerading: Task or ServiceT1036.005 Masquerading: Match Legitimate Name or LocationT1574.002 Hijack Execution Flow: DLL Side-LoadingT1047 Windows Management InstrumentationT1072 Software Deployment ToolsT1059.003 Command and Scripting Interpreter: Windows Command ShellCobaltStrike Beacon IOCs03a8efce7fcd5b459adf3426166b8bda56f8d8439c070b620bccb85a283295f4e4dd5fc22ff3e9b0fa1f5b7b65fb5dfeac24aab741eee8a7af93f397b5720f4ad011a846badec24a48a50d1ab50f57d356b9dd520408cbb3361182f6f0489a1e0a566a0ddbaf9975221fe842b9b77c4a8b5d71bb2c33e0a46da26deec90dcbea61cd1311d2e4663b86b5a70c2aafd5af6b247a6ebf407170296e37aaf8c693921.3 ابزار Beltalowda : این ابزار مبتنی بر ابزار SeatBelt ایجاد شده که یک ابزار تیم قرمز و آبی می باشد که برای ارزیابی safety checks استفاده می شود.Beltalowda / SeatBelt IOCsd80b7a31d68b5f483073ff7af0984c1090f6a493f84db7d3a301e3e35fdb4a567b7cbb1a62faf7e7a9ee1d0254c5681779b61abd3c9763b6588857c14cccdd9b8f991317f1473fa8af3c3d6ade2551ddac01425db6e7b0c718b81c324c43730d1d841ff51f8b5b08d7b4752cd498108d4b3f82864257dbd8e35b097c766f9e2429054e2cad080a61db11a61791206ea939cbf79abee71c44fa0e7603dd168840dea11a5bc6ff271e40e477d1645bdeb19454bdd8eac077e598ca56ee885fc06eb89158aeac0e98f7cc2a6c3040ad2f57093bdb9064eab2c585c1250d5efa850e00d1726e2ba77c4bed66a6c5c7f1a743cf7bb480deff15f034d67cf72d558c835cacbf4e84027cb3c0ec55940dddee6f4d368aae778d635003cb3013b547ede0bb939544ac109ca674ee9de4d8b292f9b117c9c676ddab61d15a6e219ad3986c1.4 ابزار Dtrim :یک نسخه اصلاح شده از ابزار SharpSploit میباشد که یک کتابخانه متن باز سی شارپ برای پست اکسپلویتینگ می باشد. (انتقال ماژولهایی مانند میمیکتز)1.5 برنامه EWS-RT :یک نسخه اصلاح شده از ابزار متن باز پاورشلی RT-EWS که می باشد که برای عملیات شناسایی و اکسپلویت Microsoft Exchange Servers از جمله Office365 مورد استفاده قرار میگیرد.1.6 برنامه Fluffy :یک نسخه اصلاح شده از ابزار متن باز سی شارپی Rubeus برای ارتباط و اکسپلویت Kerberos می باشد.تیم های قرمز از این ابزار برای استخراج تیکتهای تحت حملات Kerberoasting استفاده می کنند .MITRE ATT&CK TechniquesT1558.003 Steal or Forge Kerberos Tickets: Kerberoasting1.7 ابزار G2JS :این ابزار که با نام GadgetToJScript نیز شناخته می شود با استفاده از BinaryFormatter در دات نت برای زبانهایی اسکریپتی JS, VBS, VBA ابزارهایی تولید می کند. تیم های قرمز اغلب از این ابزار برای تولید اسکریپتهای Microsoft Windows Script Host استفاده میکنند.MITRE ATT&CK TechniquesT1059.005 Command and Scripting Interpreter: Visual BasicT1059.007 Command and Scripting Interpreter: JavaScript/JScriptG2JS IOCs (SHA256)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.8 برنامه ImpacketObf :مجموعه ای از ابزارهای مبهم سازی Impacket می باشد.Impacket کلاسهایی از پایتون برای کار با پروتکل های شبکه می باشد.1.9 ابزار ImpacketOBF (SMBExec)براساس ابزار smbexec.py مرتبط با Impacket ساخته شده است .1.10 ابزارImpacketOBF (WMIExec)براساس ابزار wmiexec.py مرتبط با Impacket ساخته شده است .MITRE ATT&CK TechniquesT1047 Windows Management Instrumentation1.11 ابزار InveighZeroیک ابزار برای حملات مرد میانی و اسپوفینگ می باشد و پروتکلهای LMNR, NBNS, mDNS, DNS, DHCPv6 را ساپورت میکند.MITRE ATT&CK TechniquesT1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB RelayInveighZero IOCs (SHA256)78fafeb22bf31de02a4b56114e86dcc3394e382658a5c95b1a302d3d8794718d2728c46f4fcf62f3faee72be30f1dd75528391b0d70da302544f5282d58c931b715b415647f33937b39aa072001bfb9857a4bea884d009cbe0c27f1422b9f55b452c6651e79d9f69a55e711c0b4d70eb2b1aaac206b8a274e45d22f9d7cafd2c50c4f46e43d30c9520be35e294ef98d81f81d60602cd659367bbcf6a91766c0fa66f3a9ddf9343aeed40276c1abfc485f089050074a03801cd9a16787a39c6bf0c080548e15e7f377baed2a550d48a555e6150d969f7f4b8244c3b3a50afb8581.12 ابزار KeeFarceیک ابزار متن باز برای استخراج پسورد KeePass 2.x از حافظه می باشد.که از تکنیک DLL injection استفاده میکند.MITRE ATT&CK TechniquesT1555.001 Process Injection: Dynamic-link Library InjectionKeeFarce IOCs (SHA256) 5ea9a04284157081bd5999e8be96dda8fac594ba72955adacb6fa48bdf8664341.13 برنامه NetAssemblyInjectبراساس ابزار NET-Assembly-Inject-Remote برای تزریق اسمبلی های سی شارپ به پروسهای ویندوز استفاده می شود.1.14 ابزار NoAmciیک ابزار متن باز که با استفاده از DInvoke برای وصله کردن AMSI.dll برای بایپس کردن AMSI استفاده می شود.1.15 ابزار PuppyHoundیک ابزار متن باز اصلاح شده از SharpHound به زبان سی شارپ می باشد که برای جمع اوری اطلاعات برای BloodHound می باشد.PuppyHound / SharpHound IOCs (SHA256)23490f7ac40b6b15c228ed8f8e9122d460469aa4025ed7008660e4310ef7e70fa7240d8a7aee872c08b915a58976a1ddee2ff5a8a679f78ec1c7cf528f40deed5fabe36fb1da700a1c418e184c2e5332fe2f8c575c6148bdac360f69f91be6c27b0a7e5d344f8ffa1a097cd9e658ecaa551fd84cfcc92a5fe46f9965661662cce9e646a9dba31a8e3debf4202ed34b0b22c483f1aca75ffa43e684cb417837faa07002c5d7712e751dfbcab1f05190793eb417b693b61f8ba0750fa15f88f61b0d9fbc16c6f316d8ee1b9ff47b300c24a1964fdfc3990b680d05dab5e1905d9fee72671628902e2cd75fde74b7926355b39d1ab50be0aa8bc06e8f06344fc22c36d4e69106bc8530d7923442d1929558b876f7f10545316623ae3db1b93ec584e333444d815055181402f5fdbf60a62c4545e64f3e382c7685b47b7b5a6c27e81.16 برنامه Rubeusابزار متن باز سی شارپی Rubeus برای ارتباط و اکسپلویت Kerberos می باشد.تیم های قرمز از این ابزار برای استخراج تیکتهای تحت حملات Kerberoasting استفاده می کنند .MITRE ATT&CK TechniquesT1558.003 Steal or Forge Kerberos Tickets: KerberoastingRubeus IOCs (SHA256)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.17 ابزار SafetyKatzیک ابزار ترکیبی از میمیکتز و .NET PE Loader می باشد.ابزاری که یک minidump از lsass می گیرد و با استفاده از NET PE Loader میمیکتز را برای استخراج گواهینامه ها اجرا میکند.MITRE ATT&CK TechniquesT1003.001 OS Credential Dumping: LSASS MemorySafetyKatz IOCs (SHA256)2b3cab071ca6f104377a7684eb586150fdec11df2dc8cebcb468f57a82f10c7389a456943cf6d2b3cd9cdc44f13a23640575435ed49fa754f7ed358c1a3b6ba93547d857af012c643a75bd3c1d3226c98e8181dc6e92872eb0746b26f6cc1a09d1d3b00e8be37b30abfe2ff2aca90073ae517a27635a9fbb2e222981cf1ae817796f70f7e01257c5b79e398851c836e915f6518e1e3ecd07bcd29233cf78f13dbcf1857fe1eb566c0dbd032f7ec186bc1a31895861ac36887ad034501794fd004542ebba83ef6e16db6dc30383614bf52cb7c3f2fbd1577de10f02d6bf7dfc50291a6968a3f7f2092c656d0275c604182d6f7ee7b813460aeb8b28c06d804b5eb0a55532654bbfd0aafa59dfe26b576a095d9ac4a4af2f99bca442a1d87ce29b27dd261ad7f3ad7d782625c2a459caf6ae81109ffe8f830b68b154f02d5786581.18 برنامه SharpUtilsمجموعه ای از ابزارهای تیم قرمز که به زبان سی شارپ نوشته شده.1.19 ابزار SharpZeroLogonیک اکسپلویت متن باز برای Zerologon می باشد.SharpZeroLogon IOCs (SHA256)c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805bb9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d064397a05fd67e9344d27c90a7196ab32cbaf1ee8c14f8655e87cc3ebddca7eacebdfeec19dd96f08c4b6c61e079cbff058bb79d928a3c3dd01b397222a3f5bfe2dd9fa032802537b61f0e5f3645229a0758114b0c00ddc95273efba7a17ed18e2e0010ed27a6dad3793933262c0a0b4ec1837c7127cde872acf23e4c42a8ecfd91097bcf833ab795b3a2cbd5df2e8caf5d664534b4623d0864dda73222dc47c56ec71.20 ابزار TitoSpecialبراساس ابزار AndrewSpecial ایجاد شده که برای سرقت گواهینامه ها از Lsass استفاده می شود.MITRE ATT&CK TechniquesT1003.001 OS Credential Dumping: LSASS MemoryTitoSpecial / AndreSpecial IOCs (SHA256)7bcf833ab795b3a2cbd5df2e8caf5d664534b4623d0864dda73222dc47c56ec71.21 ابزار TrimBishopبراساس ابزار متن باز Rural Bishop ایجاد شده است.TrimBishop / RuralBishop IOCs (SHA256)38e7e5250287542688b12e216d9b25388061decde2f7255969a7a914cda0faf460247aa54635a0788f636aeab9752cc4e83ba4ae3ec336f60e01ab8dec856a057127e4b634f2bf6b9965d183c3dd61540ed4e08c4d60123da44892cf509cfe94f821c3b8274d69e6948dea823682d16be0b23da3ea5363d6ffa0ea05e8654c05b40c8fcb20acf66db418078f0d6099145b220dc056d095beb54665faf6c726c7ادامه مطالب در قسمت دوم این مجموعه از پستها.

Author: admin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *