FireEye kısa süre önce, saldırganların Red Team araçlarını çaldıklarını bildiren bir siber saldırı raporu yayınladı. FireEye ayrıca bu çalınan araçların kuruluşlara karşı kullanımını belirlemek için Karşı Tedbirler (IOC, YARA Kuralları) yayınladı.
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
Red Team Araçları;
https://github.com/fireeye/red_team_tool_countermeasures
Yukarıdaki önlemlerin ilk analizi, Red Team’in bir şirketin güvenliğini değerlendirme tekniklerini ortaya koyuyor.
Aşağıda kullanılan tekniklerden birkaçı listelenmiştir:
 Active Directory reconnaissance and exploitation
 Credential dumping and stealing, etc.
 SMB, WMI enumeration
 MITM LLMNR/NBNS/mDNS/DNS/DHCPv6 man-in-the-middle attacks
 Exploiting known vulnerabilities across internal and public-facing systems
 Security evasions techniques
 Kerberos abuse, Kerberoasting exploitation
 Process injection
FireEye, araçların yaptıklarını yayınlamamasına rağmen, Attivo Networks araştırma ekibleri  Red Team değerlendirmesi için kullanılan birçok açık kaynak araç çeşidini analiz etti ve buldu.
Aşağıda, FireEye Red Team araç setinin parçası olan Açık Kaynak araçları listelenmiştir:
 SharpHound (https://github.com/BloodHoundAD/SharpHound)
 PuppyHound (Modified Version of Sharphound)
 Seatbelt (https://github.com/GhostPack/Seatbelt)
 SharpSploit (https://github.com/cobbr/SharpSploit)
 ADPassHunt (Powershell scripts to extract passwords)
 SharpZeroLogon (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon)
 Collection of Impacket tools  (https://github.com/SecureAuthCorp/impacket)
 SafetyKatz (https://github.com/GhostPack/SafetyKatz)
 InveighZero (https://github.com/Kevin-Robertson/InveighZero)
 Rubeus (https://github.com/GhostPack/Rubeus)
 AndrewSpecial (https://github.com/hoangprod/AndrewSpecial)
 KeeFarce (https://github.com/denandz/KeeFarce)
 G2JS (https://github.com/med0x2e/GadgetToJScript)
Fırsat buldukça yukarıda araçları kullanarak test ortamında örnek saldırıları deneyip Attivo Network Aldatma Bazlı Tespit Sistemi ile bu atakların nasıl tespit edildiğini göstereceğim.



