FireEye kısa süre önce, saldırganların Red Team araçlarını çaldıklarını bildiren bir siber saldırı raporu yayınladı. FireEye ayrıca bu çalınan araçların kuruluşlara karşı kullanımını belirlemek için Karşı Tedbirler (IOC, YARA Kuralları) yayınladı.
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
Red Team Araçları;
https://github.com/fireeye/red_team_tool_countermeasures
Yukarıdaki önlemlerin ilk analizi, Red Team’in bir şirketin güvenliğini değerlendirme tekniklerini ortaya koyuyor.
Aşağıda kullanılan tekniklerden birkaçı listelenmiştir:
Active Directory reconnaissance and exploitation
Credential dumping and stealing, etc.
SMB, WMI enumeration
MITM LLMNR/NBNS/mDNS/DNS/DHCPv6 man-in-the-middle attacks
Exploiting known vulnerabilities across internal and public-facing systems
Security evasions techniques
Kerberos abuse, Kerberoasting exploitation
Process injection
FireEye, araçların yaptıklarını yayınlamamasına rağmen, Attivo Networks araştırma ekibleri Red Team değerlendirmesi için kullanılan birçok açık kaynak araç çeşidini analiz etti ve buldu.
Aşağıda, FireEye Red Team araç setinin parçası olan Açık Kaynak araçları listelenmiştir:
SharpHound (https://github.com/BloodHoundAD/SharpHound)
PuppyHound (Modified Version of Sharphound)
Seatbelt (https://github.com/GhostPack/Seatbelt)
SharpSploit (https://github.com/cobbr/SharpSploit)
ADPassHunt (Powershell scripts to extract passwords)
SharpZeroLogon (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon)
Collection of Impacket tools (https://github.com/SecureAuthCorp/impacket)
SafetyKatz (https://github.com/GhostPack/SafetyKatz)
InveighZero (https://github.com/Kevin-Robertson/InveighZero)
Rubeus (https://github.com/GhostPack/Rubeus)
AndrewSpecial (https://github.com/hoangprod/AndrewSpecial)
KeeFarce (https://github.com/denandz/KeeFarce)
G2JS (https://github.com/med0x2e/GadgetToJScript)
Fırsat buldukça yukarıda araçları kullanarak test ortamında örnek saldırıları deneyip Attivo Network Aldatma Bazlı Tespit Sistemi ile bu atakların nasıl tespit edildiğini göstereceğim.