安恒渗透攻击红队百科全书_FireEye红队泄露武器库详解
背景
2020年12⽉8⽇,美国著名⽹络安全公司FireEye发布通告称,其遭受了国家级APT组织的⼊侵,该组织使⽤了⼀些未公开的⾼危⼿段窃取了其红队在进⾏渗透测试过程中使⽤的⼯具集,包含60种⼯具。FireEye在博客中发布了数百种对策,以使更⼴泛的安全社区能够保护⾃⼰免受这些⼯具的攻击。
概述
研究⼈员分析FireEye Red Team武器库中被盗取的60种⼯具后发现:
43%的被盗⼯具是使⽤已知攻击技术的公开可⽤⼯具。
40%的⼯具是由FireEye内部开发的。这些⼯具还利⽤了已知攻击者的技术。
由于FireEye没有共享有关这些⼯具的详细信息,因此有17%的被盗⼯具⽆法识别。根据它们的名称,这些未知⼯具中的⼤多数也都是公开可⽤⼯具的略微修改版本。
FireEye还宣布被窃取了16个漏洞利⽤。
被盗的红队⼯具
FireEye尚未分享有关被盗的红队⼯具⽤处的详细信息。分析⼈员分析了这些被盗⽤的⼯具,以揭⽰这些⼯具的功能和可能产⽣的影响。
这些⼯具可以分为四类:
1. 基于开源项⽬的⼯具:这些红队⼯具是开源⼯具的略微修改版本。
2. 基于内置Windows⼆进制⽂件的⼯具:这些⼯具使⽤称为LOLBIN(离地⼆进制⽂件)的内置Windows⼆进制⽂件。
3. Fireeye红队开发的⼯具:这些⼯具是专门为FireEye红队的使⽤⽽开发的。
4. 没有⾜够数据进⾏分析的⼯具:没有⾜够的数据来分析这些⼯具。FireEye针对以下⼯具发布的Yara规则特定于⼯具的ProjectGuid。
⼯具的详细分析
基于开源项⽬的⼯具:
这些红队⼯具是开源⼯具的修改版本。
1.ADPassHunt
⼀种凭据窃取⼯具,可捕获Active Directory凭据。该⼯具的YARA规则中包含两个体现⼯具功能的字符串:Get-GPPPasswords 和Get-GPPAutologons 。Get-GPPPassword 是⼀个PowerShell脚本,⽤于检索通过Group Policy Preferences (GPP)推送的帐户的明⽂密码和其他信息。Get-GPPAutologons 是另⼀个PowerShell脚本,可从GPP推送的⾃动登录条⽬中检索密码。PowerSploit是结合了PowerShell模块和脚本的进攻型安全框架 。
2.Beacon
这个红队⼯具基于  CobaltStrike Beacon。Beacon是攻击者⽤于实现多个⽬标⽽使⽤的CobaltStrike有效载荷,例如维持、执⾏、权限提升、凭据转储、横向移动和通过HTTP、HTTPS、DNS、SMB和TCP协议进⾏的命令和控制(C2)通信 。根据FireEye发布的策
略,Beacon⼯具使⽤HTTP、HTTPS和DNS Beacon。Beacon⼯具利⽤内置的Windows⼆进制⽂件(例如 、
Microsoft.和)来执⾏任意有效载荷,并⽤进⾏进程注⼊以逃避防御。通过重命名这些⼆进制⽂件进⾏伪装以避免基于名称的检测。
3.Beltalowda
Beltalowda是⼀个基于开源实⽤程序SeatBelt的红队⼯具。SeatBelt从与主机调查有关的进攻性和防御性安全的⾓度,进⾏各种以安全为导向的“安全检查” 。
4.Dtrim
Dtrim是SharpSploit 的修改版本,是⼀个⽤C#编写的开源.NET post-exploitation库 。SharpSploit导⼊PowerShell post-exploitation 框架(例如PowerSploit)和其他⼯具(例如Mimikatz)的模块。
5.EWS-RT
EWS-RT基于开源PowerShell⼯具RT-EWS ,该⼯具是利⽤EWS(Exchange Web服务)API的⼏个cmdlet,在Microsoft Exchange服务器(包括Office365和Windows Server)上执⾏特定的枚举和利⽤任务。
6.Fluffy
Fluffy是Rubeus的修改版,是⽤于原始的Kerberos交互和滥⽤的开源C#⼯具包。红队使⽤Rubeus进⾏Kerberoasting攻击并提取Kerberos票据。
7.G2JS
G2JS(GadgetToJScript)是⼀个⽤于⽣成.NET序列化的开源⼩⼯具,当使⽤来⾃JS、VBS和VBA脚本的BinaryFormatter进⾏反序列化时,可以触发.NET程序集加载和执⾏ 。G2JS的创建主要是为了在红队参与期间⾃动执⾏Microsoft Windows Script Host (WSH)脚本武器化。
8.ImpacketObf
ImpacketObf(ImpacketObfuscation )是混淆的Impacket实⽤程序集合。使⽤Python编写的,⽤于处理⽹络协议。
9.ImpacketOBF(SMBExec)
⼀个基于Impacket的 smbexec .py⼯具。
10.ImpacketOBF(WMIExec)
⼀个基于Impacket的 wmiexec .py⼯具。
11.InveighZero
InveighZero是⼀种开源的欺骗和中间⼈(MitM)攻击⼯具,旨在帮助红队和渗透测试⼈员。它可以欺骗LMNR、NBNS、mDNS、DNS和DHCPv6协议。
12.KeeFarce
KeeFarce是⼀个可从内存中提取KeePass 2.x密码数据库信息的开源⼯具。它使⽤DLL注⼊利⽤正在运⾏的KeePass进程执⾏代码。
13.NetAssemblyInject
该⼯具将C#.NET程序集注⼊到任意Windows进程中。它基于开源⼯具NET-Assembly-Inject-Remote。
14.NoAmci
NoAmci是⼀个使⽤DInvoke修补AMSI.dll并绕过AMSI (Windows反恶意软件扫描接⼝)检测的开源⼯具。
15.PuppyHound
PuppyHound是开源⼯具SharpHound 的修改版本。它是BloodHound项⽬的C#数据收集器。
16.Rubeus
Rubeus是⽤于原始Kerberos交互和滥⽤的开源C#⼯具包。红队使⽤Rubeus进⾏Kerberoasting攻击并提取Kerberos票据。
17.SafetyKatz
SafetyKatz是Mimikatz和.NET PE加载程序的结合 。它创建LSASS的⼩型转储,并使⽤PELoader加载⾃定义版本的Mimikatz以进⾏凭据转储。
18.SharpUtils
⽤C#语⾔编写的红队实⽤程序的开源集合。
19.SharpZeroLogon
基于Zerologon漏洞(CVE-2020-1472 )的开源漏洞利⽤ 。它利⽤Netlogon中的加密漏洞绕过⾝份验证。
20.TitoSpecial
基于开源⼯具AndrewSpecial ,可以窃取凭据,从LSASS内存中转储凭据。
21.TrimBishop
基于开源⼯具“Rural Bishop”。
基于内置Windows⼆进制⽂件的⼯具
1.DueDLLigence
DueDLLigence是FireEye 发布的shellcode运⾏器框架。红队将其⽤于应⽤程序⽩名单绕过和DLL侧加载。它利⽤内置的Windows⼆进制⽂件(Windows控制⾯板)、(远程访问拨号器),以及⽂件(Microsoft安装程序可执⾏⽂件)绕过应⽤程序。
2.MSBuildMe
这个红队⼯具是基于MSBuild(Microsoft Build Engine)的⽤于构建应⽤程序的平台。它⽤于编译和执⾏代码并绕过应⽤程序⽩名单(AWL)。
3.NetshShellCodeRunner
该⼯具基于Netsh .exe,⽤于处理⽹络接⼝设置的Windows⼯具。被红队和攻击者⽤来执⾏.dll⽂件。
4.Uncategorized
⼀组利⽤内置Windows⼆进制⽂件、和进⾏进程注⼊的⼯具集合。
5.Weaponize
该⼯具使⽤Windows内置的⼆进制⽂件TSTheme .exe(TSTheme服务器模块)。
为Fireeye红队开发的⼯具
1.DShell
DShell红队⼯具是⽤D编程语⾔编写的后门程序。其有效载荷以Base64格式编码。根据DShell使⽤的Windows函数,可推测它使⽤进程注⼊技术将其有效载荷注⼊到合法进程中。
2.Excavator
这个红队⼯具可以直接通过其服务转储进程。红队使⽤它从LSASS内存中转储凭据。
3.GetDomainPasswordPolicy
⼀种侦查⼯具,可获取Active Directory域的密码策略。
4.GPOHunt
⼀种检索⼯具,可检索组策略配置。
5.KeePersist
为Fireeye红队开发的⼯具,⽤于建⽴持久性。
6.LNKSmasher
LNKSmasher是⼀种可⽣成恶意.LNK⽂件的⼯具。LNK是⼀种⽤于指向可执⾏⽂件的快捷⽅式⽂件的⽂件格式。这个红队⼯具可以在LNK ⽂件中嵌⼊任意有效载荷。
7.LuaLoader
LuaLoader是⼀个可以加载⽤Lua语⾔编写的任意代码的红队⼯具。是专门为Fireeye红队开发的⼯具。
8.Matryoshka
Matryoshka是⽤Rust编程语⾔编写的⼯具。这是⼀个多阶段⼯具。下载第⼀阶段的有效载荷后,它会通过其加载程序运⾏第⼆阶段的恶意软件并安装实际的有效载荷。它使⽤进程镂空技术进⾏防御规避。
9.MemComp
MemComp⼯具⽤于内存编译。
10.MOFComp
MOFComp(MOF编译器)是⼀个内置的Windows⼯具,该⼯具分析包含MOF(托管对象格式)语句的⽂件,并将⽂件中定义的类和类实例添加到WMI (Windows Management Instrumentation)存储库。
11.PGF
⼀个利⽤多个LOLBIN(例如Netsh、InstallUtil、Regasm、RunDLL32、Control和)的后门开发框架。
12.PXELoot
⼀个红队⼯具,可以发现和利⽤Windows部署服务(WDS)中的错误配置。
13.RedFlare
RedFlare是⽊马开发框架,包括⽣成器、控制器、下载器和键盘记录器。它可以为Windows和Linux系统⽣成⽊马。
14.RedFlare(GoRAT)
GoRAT是使⽤Golang编程语⾔编写的RAT(远程访问⽊马)。
15.ResumePlease
⼀个Microsoft Office宏恶意软件模板,其中包含恶意VBA (Visual Basic for Application)代码。
16.SharPersist
⽤C#编写的Windows持久化⼯具包。通过⼏种⽅法提供持久性,例如修改注册表运⾏键,将有效载荷添加到启动⽂件夹以及在每次启动运⾏时添加新的计划任务。
17.SharPivot
SharPivot是⼀个.NET控制台应⽤程序。利⽤DCOM(分布式组件对象模型)在远程⽬标上执⾏命令以进
⾏横向移动。
18.SharpSchTask
⼀个⽤C#编写的持久化⼯具,它利⽤Windows的计划任务功能。
19.SharpStomp
SharpStomp是C#实⽤程序,可⽤于修改⽂件的创建、最后访问和最后写⼊时间。换句话说,它是⼀个时间戳⼯具。
20.SinfulOffice
此⼯具使⽤OLE (对象链接和嵌⼊)功能创建恶意的Microsoft Office⽂档。
21.WildChild
WildChild是⼀个⽤于创建恶意的HTA (HTML应⽤程序)⽂件的⽣成器⼯具。Microsoft HTML应⽤程序主机(Mshta .exe)运⾏HTA⽂件。
22.WMIRunner
该⼯具⽤于运⾏WMI命令。lol登陆错误
23.WMISharp
该⼯具包含红队使⽤的WMI命令。
24.WMISpy
WMISpy⼯具使⽤多个WMI类,例如Win32_NetworkLoginProfile、MSFT_NetNeighbor、Win32_IP4RouteTable、
Win32_DCOMApplication、Win32_SystemDriver、Win32_Share和Win32_Process进⾏侦察和横向移动。
没有⾜够数据进⾏分析的⼯具
1.AllTheThings
2.CoreHound
3.Justask
4.PrepShellCode
5.Revolver
6.SharpGenerator
7.SharpGrep
8.SharpSack
9.SharpSectionInjection 10.SharPy
往期推荐
本周APT组织动态(11.28-12.04)
本周APT组织动态(11.7-11.13)