در قسمت قبلی مطالبی رو در مورد هک فایرآی گفتیم و یسری ابزارهای تیم قرمز مبتنی بر پروژه های متن باز رو معرفی کردیم در این پست ادامه ابزارها رو میریم.
ابزارهای داخلی ویندوز که از اونها به LOLBINs (Living Off The Land Binaries یاد میشه در تیم های قرمز خیلی کاربرد دارد.
2.1 ابزار DueDLLigence
یک ابزار برای اجرای شل کد می باشد که قبلا توسط فایرآی منتشر شده بود. تیم های قرمز از این ابزار برای whitelisting bypass و DLL side-loading استفاده می کنند.این ابزار از برنامه های داخلی ویندوز مانند Control.exe و Rasautou.exe و msiexec.exe برای بایپس کردن استفاده میکنند.
MITRE ATT&CK Techniques
T1218.002 Signed Binary Proxy Execution: Control Panel
T1218.007 Signed Binary Proxy Execution: Msiexec
DueDLLinge IOCs (SHA256)
9ff0c4211b7e0b6b9789c4a8576a5e2d1085ca729047a97518f46073ba558956
bcbc2f9367a909de763dca4d46d8328b65593df72abb5e61d2b8b104245f4814
df50e66c9f384a5ff9e3b23272677f3cc2962759947bffbfb905a12f21fd7a3d
71227bc1534a092ba03e6374cad929b193d1f6667cb781efd059b7d7d8e09c1d
aac1cd7e70f87d29504a017c7c1fe4ad276980d624d1f3651565cada52a37031
2.2 ابزار MSBuildMe
یک ابزار مبتنی بر MSBuild برای ساخت ابزار (کامپایل و اجرا) برای بایپس کردن AWL می باشد.
MITRE ATT&CK Techniques
T1127.001 Trusted Developer Utilities Proxy Execution: MSBuild
2.3 ابزار NetshShellCodeRunner
ابزار مبتنی بر Netsh.exe می باشد که برای دستکاری تنظیمات شبکه استفاده می شود. تیم های قرمز از آن برای اجرای dll استفاده میکنند.
MITRE ATT&CK Techniques
T1546.007 Event Triggered Execution: Netsh Helper DLL
2.4 ابزار Uncategorized
ابزاری که برای تزریق پروسس از برنامه های dism.exe, searchprotocolhost.exe, and werfault.exe استفاده میکند.
MITRE ATT&CK Techniques
T1055 Process Injection
2.5 ابزار Weaponize
از باینری TSTheme.exe استفاده میکند.
ابزارهای توسعه داده شده توسط تیم قرمز فایرآی.
3.1 ابزارDShell
یک بکدور نوشته شده به زبان D که از BASE64 برای انکدینگ پیلودهای خود توسط تزریق پروسس استفاده میکند.
DShell IOCs (SHA256):
747941f972e786f9a93c809247dc776d1fe348e004b1c087683756ae48acfdfe
4647ead22996882f3e17104040605473309f460d4f8d00f07395de89d81a039c
a6834eb32f20a52786ce1c5e99b94baec4d251414a97ca4717b2b06c88340a4b
2b4d48aac9c6885f50f5f95c10385aa10f7de9c8f393e64777b544e8fae8c95b
5e53ce8f7f5f0b9c85bcb15becc5ae4ce9f8fc01504e76deaafbf70ffa1cda9d
6500e845c478dc26d950b913da2fb85d6b180275827737062f23c8671b2cbd0e
c32514711f72002e9a540c2434dee7b239485d01a95a7530b939fed43f277f6d
77dedb037985896646ee3a65687dca17f669750133893209ea765c991a2c39a0
0c55581575708818bd5b58cd9647f1112f97a921f36227d4fe512e710e0a0dbf
225d4be8f66361b82dd89fc14496a1ebe37049c1930672dde2ccb6aab068aff1
3.2 ابزار Excavator
این ابزار برای دامپ کردن پروسس ها و سرویس ها مورد استفاده قرار میگیرد.از این ابزار برای بدست آوردن گواهینماه های موجود در Lsass استفاده می کنند.
MITRE ATT&CK Techniques
T1003.001 OS Credential Dumping: LSASS Memory
Excavator IOCs (SHA256):
efb533249f71ea6ebfb6418bb67c94e8fbd5f2a26cbd82ef8ec1d30c0c90c6c1
27a5e3795e150eb9d3af99a654be7d9a684983c0bbccc9ba0b4efa4301404760
31d06aa9ceb13c28b6af76d6b5cc33dc14c59e4496c9265cee60cbad3d89b863
3.3 ابزار GetDomainPasswordPolicy
ابزاری برای جمع آوری سیاست های پسورد در اکتیودایرکتوری
3.4 ابزار GPOHunt
ابزاری برای بدست آوردن تنظیمات Group Policy
3.5 ابزار KeePersist
برای پایداری برنامه ها استفاده می شود.
3.6 ابزار LNKSmasher
ابزاری جهت ساخت فایلهای LNK مخرب برای اجرای پیلود.
MITRE ATT&CK Techniques
T1547.009 Boot or Logon Autostart Execution: Shortcut Modification
T1204.002 User Execution: Malicious File
3.7 ابزارLuaLoader
ابزاری برای لوود برنامه نوشته شده به زبان Lua می باشد
3.8 ابزارMatryoshka
ابزار نوشته شده به زبان Rust که چندمرحله ای می باشد. پس از اینکه پیلود مرحله اول خود را دانلود کرده و در مرحله دوم پیلود را نصب و اجرا می کند.این ابزار از تیکنیک process hollowing استفاده میکند.
3.9 ابزار MemComp
برای جمع آوری محتویات مموری استفاده می شود.
3.10 ابزار MOFComp
ابزاری داخلی ویندوز برای تجزیه MOF و اضافه کردن به مخزن WMI استفاده می شود.
MITRE ATT&CK Techniques
T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription
3.11 برنامه PGF
یک چارچوب برای توسعه بکدور می باشد که از باینری های داخلی ویندوز مانند Netsh, InstallUtil, Regasm, RunDLL32, Control, Cstmp.exe استفاده میکند.
MITRE ATT&CK Techniques
T1218.001 Signed Binary Proxy Execution: Compiled HTML File
T1218.002 Signed Binary Proxy Execution: Control Panel
T1218.003 Signed Binary Proxy Execution: CMSTP
T1218.004 Signed Binary Proxy Execution: InstallUtil
T1218.005 Signed Binary Proxy Execution: Mshta
T1218.007 Signed Binary Proxy Execution: Msiexec
T1218.008 Signed Binary Proxy Execution: Odbcconf
T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm
T1218.010 Signed Binary Proxy Execution: Regsvr32
T1218.011 Signed Binary Proxy Execution: Rundll32
T1216.001 Signed Script Proxy Execution: PubPrn
T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control
T1036.005 Masquerading: Match Legitimate Name or Location
T1055 Process Injection
T1574.002 Hijack Execution Flow: DLL Search Order Hijacking
T1574.002 Hijack Execution Flow: DLL Side-Loading
PGF IOCs (SHA256)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.12 ابزار PXELoot
تنظیمات نادرست موجود در Windows Deployment Services (WDS) را شناسایی و اکسپلویت میکند.
3.13 ابزار RedFlare
یک فریمورک توسعه تروجان می باشد این ابزار شامل دانلودر،اجراکننده،کنترلر و کیلاگر است و در هر دو سیستم عامل ویندوز و لینوکس قابل اجراست.
RedFlare IOCs (SHA256):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.14 ابزار RedFlare (GoRAT)
ابزاری برای توسعه RAT که به زبان گولنگ می باشد.
GoRAT IOCs (SHA256)
1381107c1f473b3dce170356158be445afc76ec3c0661d8429ef1f5a591e76f0
39845d02f72d83ef342b62b7348776d44cdb3eb6416b83ea2167b301d306cd58
3.15 ابزار ResumePlease
ابزاری برای توسعه ماکروهای VBA برای آفیس
ابزاری به زبان سی شارپ برای انجام عملیات پایداری برنامه ها که با روشهای مختلفی مانند رجیستری،اضافه کردن به فولدر استارت آپ و scheduled task استفاده میکند.
MITRE ATT&CK Techniques
T1112 Modify Registry
T1546.015 Event Triggered Execution: Component Object Model Hijacking
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1047 Windows Management Instrumentation
T1053.005 Scheduled Task/Job: Scheduled Task
SharPersist IOCs (SHA256)
e9711f47cf9171f79bf34b342279f6fd9275c8ae65f3eb2c6ebb0b8432ea14f8
455aab141cc9945899c9838b187251c7f647470d827a1d4ce8e833f04a6dd386
68c3388de07d92023490fb47caf1b6f92556959f2267cc3b3d2fcd5018cd3d72
0a443ea08c23991d229ee89a92bc23f959e17819027bb71f6267a7dfeeb9793d
4c3d4cbeec3d722929d86c0bf19108b3eac090fc5dc8fcde2cf818ff16e6fc5b
3.17 ابزار SharPivot
یک ابزار دات نتی که برای اجرای دستورات در ماشین راه دور جهت نفوذ در عمق با استفاده از DCOM ها می باشد.
MITRE ATT&CK Techniques
T1021.003 Remote Services: Distributed Component Object Model
T1559.001 Inter-Process Communication: Component Object Model
T1059.003 Command and Scripting Interpreter: Windows Command Shell
3.18 ابزار SharpSchTask
یک ابزار برای عملیات پایداری با استفاده از scheduled task که به زبان سی شارپ نوشته شده است.
MITRE ATT&CK Techniques
Scheduled Task/Job: Scheduled Task
3.19 ابزار SharpStomp
یک ابزار timestomping برای مدیریت زمان نوشتن و دسترسی و ... فایل که به زبان سی شارپ نوشته شده است.
MITRE ATT&CK Techniques
T1070.006 Indicator Removal on Host: Timestomp
3.20 ابزار SinfulOffice
ابزاری جهت تولید فایلهای مخرب آفیس با استفاده از OLE .
SinfulOffice IOCs (SHA256)
4c5e5e172d233680fee184643b4b79dbf1f97674807c7e40bcfaac8675016c0d
a099840e55c6d813db791842efb1512e401af03e4fd9e285b6e906b615cc477a
3.21 ابزار WildChild
ابزاری جهت تولید فایلهای مخرب HTA که توسط برنامه داخلی ویندوز Mshta.exe اجرا می شود.
MITRE ATT&CK Techniques
T1218.005 Signed Binary Proxy Execution: Mshta
3.22 ابزار WMIRunner
ابزاری جهت اجرای دستورات WMI
MITRE ATT&CK Techniques
T1047 Windows Management Instrumentation
3.23 ابزار WMISharp
ابزاری حاوی دستورات WMI
MITRE ATT&CK Techniques
T1047 Windows Management Instrumentation
3.24 ابزار WMISpy
ابزاری حاوی کلاس های مختلف WMI مانند Win32_NetworkLoginProfile, MSFT_NetNeighbor, Win32_IP4RouteTable, Win32_DCOMApplication, Win32_SystemDriver, Win32_Share, Win32_Process که برای حرکت در عمق و شناسایی استفاده می شود.
MITRE ATT&CK Techniques
T1047 Windows Management Instrumentation
T1021.003 Remote Services: Distributed Component Object Model
ابزارهایی که فایرآی اطلاعات زیادی در مورد آنها منتشر نکرده و رولهای YARA منتشر شده آنها مرتبط با ProjectGuid می باشد.
4.1 AllTheThings
4.2 CoreHound
4.3 Justask
4.4 PrepShellCode
4.5 Revolver
4.6 SharpGenerator
4.7 SharpGrep
4.8 SharpSack
4.9 SharpSectionInjection
4.10 SharPy
در پست بعدی به روشهای دفاعی در خصوص این ابزارها می پردازیم.
