FireEye kısa süre önce, saldırganların Red Team araçlarını çaldıklarını bildiren bir siber saldırı raporu yayınladı. FireEye ayrıca bu çalınan araçların kuruluşlara karşı kullanımını belirlemek için Karşı Tedbirler (IOC, YARA Kuralları) yayınladı.

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

Red Team Araçları;
https://github.com/fireeye/red_team_tool_countermeasures

Yukarıdaki önlemlerin ilk analizi, Red Team’in bir şirketin güvenliğini değerlendirme tekniklerini ortaya koyuyor.

Aşağıda kullanılan tekniklerden birkaçı listelenmiştir:

 Active Directory reconnaissance and exploitation
 Credential dumping and stealing, etc.
 SMB, WMI enumeration
 MITM LLMNR/NBNS/mDNS/DNS/DHCPv6 man-in-the-middle attacks
 Exploiting known vulnerabilities across internal and public-facing systems
 Security evasions techniques
 Kerberos abuse, Kerberoasting exploitation
 Process injection


FireEye, araçların yaptıklarını yayınlamamasına rağmen, Attivo Networks araştırma ekibleri Red Team değerlendirmesi için kullanılan birçok açık kaynak araç çeşidini analiz etti ve buldu.

Aşağıda, FireEye Red Team araç setinin parçası olan Açık Kaynak araçları listelenmiştir:

 SharpHound (https://github.com/BloodHoundAD/SharpHound)
 PuppyHound (Modified Version of Sharphound)
 Seatbelt (https://github.com/GhostPack/Seatbelt)
 SharpSploit (https://github.com/cobbr/SharpSploit)
 ADPassHunt (Powershell scripts to extract passwords)
 SharpZeroLogon (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon)
 Collection of Impacket tools (https://github.com/SecureAuthCorp/impacket)
 SafetyKatz (https://github.com/GhostPack/SafetyKatz)
 InveighZero (https://github.com/Kevin-Robertson/InveighZero)
 Rubeus (https://github.com/GhostPack/Rubeus)
 AndrewSpecial (https://github.com/hoangprod/AndrewSpecial)
 KeeFarce (https://github.com/denandz/KeeFarce)
 G2JS (https://github.com/med0x2e/GadgetToJScript)

Fırsat buldukça yukarıda araçları kullanarak test ortamında örnek saldırıları deneyip Attivo Network Aldatma Bazlı Tespit Sistemi ile bu atakların nasıl tespit edildiğini göstereceğim.



 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.