TLP: Amber
NIVEL DE RIESGO: [Critico]
Acción Requerida: Aplicar las contramedidas publicadas por FireEye y validar la aplicación de actualizaciones de seguridad para las vulnerabilidades mencionadas.
Vector de ataque: Remoto.
Impacto: Recolección de información.

Descripción

Hace unos días la empresa de ciberseguridad FireEye informo que algunas herramientas de su “Red Team” habían sido robadas por un actor de amenazas altamente sofisticado, expertos en seguridad han analizado dichas herramientas y encontrado las TTPs utilizadas por estas. Además, afirman que de las más de 60 herramientas robadas, el 43% de estas están disponibles públicamente y utilizan técnicas de ataque conocidas, el 40% son herramientas desarrolladas internamente por FireEye, mientras que del 17% restante se desconocen los detalles ya que FireEye no ha brindado información específica hasta el momento.

Entre las herramientas analizadas se encuentran las siguientes:

  • ADPassHunt; herramienta para robo de credenciales que busca credenciales de Active Directory.
  • Beacon; herramienta es una carga útil de CobaltStrike utilizada para varios objetivos, como persistencia, ejecución, escalada de privilegios, descarga de credenciales, movimiento lateral y comunicación de comando y control (C&C) a través de protocolos HTTP, HTTPS, DNS, SMB y TCP.
  • Beltalowda; herramienta basada en una utilidad de código abierto, SeatBelt que lleva a cabo una variedad de “controles de seguridad”.
  • Dtrim; versión modificada de SharpSploit, que es una biblioteca post-explotación de .NET de código abierto escrita en C #.
  • EWS-RT: Es un par de cmdlets que aprovechan la API de EWS (Exchange Web Services) para realizar tareas específicas de enumeración y explotación en los servidores Microsoft Exchange.
  • Fluffy; conjunto de herramientas C # de código abierto para interacciones y abusos de Kerberos.
  • G2JS; herramienta de código abierto para generar gadgets serializados .NET que pueden desencadenar la carga y ejecución del ensamblado .NET.
  • ImpacketObf; colección de utilidades de Impacket ofuscadas.
  • ImpacketOBF (SMBExec); Se basa en la herramienta smbexec.py de Impacket.
  • ImpacketOBF (WMIExec); Se basa en la herramienta wmiexec.py de Impacket.
  • InveighZero; herramienta spoofer y man-in-the-middle (MitM) de código abierto.
  • KeeFarce; herramienta de código abierto que extrae la información de la base de datos de contraseñas KeePass 2.x.
  • NetAssemblyInject; herramienta inyecta ensamblados de C# .NET en procesos arbitrarios de Windows.
  • NoAmci; herramienta de código abierto que utiliza DInvoke para parchear AMSI.dll para evitar las detecciones de AMSI.
  • PuppyHoun; versión modificada de una herramienta de código abierto, SharpHound.
  • Rubeus; conjunto de herramientas de código abierto en C # para la interacción y los abusos de Kerberos.
  • SafetyKatz; combinación de Mimikatz y .NET PE Loader.
  • SharpUtils; colección de utilidades de Red Team escrita en lenguaje C#.
  • SharpZeroLogon; exploit de código abierto para la vulnerabilidad Zerologon (CVE-2020-1472).
  • TitoSpecial; herramienta de código abierto AndrewSpecial, que roba credenciales.
  • TrimBishop; herramienta se basa en una herramienta de código abierto, Rural Bishop.
  • DueDLLigence; marco de ejecución de shellcode previamente publicado por FireEye.
  • MSBuildMe; se utiliza para compilar, ejecutar código y omitir la lista blanca de aplicaciones (AWL).
  • NetshShellCodeRunner; herramienta se basa en Netsh .exe, que es una herramienta de Windows que se utiliza para manipular la configuración de la interfaz de red.
  • Uncategorized; colección de herramientas que utilizan los binarios de Windows integrados dism .exe, searchprotocolhost .exe y werfault .exe para Process Injection.
  • Weaponize; herramienta utiliza el binario TSTheme.exe (Módulo de servidor TSTheme) integrado de Windows.
  • DShell; puerta trasera escrita en el lenguaje de programación D.
  • Excavator; herramienta puede volcar un proceso directamente o mediante su servicio.
  • GetDomainPasswordPolicy; herramienta de reconocimiento que obtiene la política de contraseñas para un dominio de Active Directory.
  • GPOHunt; herramienta de reconocimiento que recupera configuraciones de políticas de grupo.
  • KeePersist; herramienta desarrollada internamente por FireEye Red Team que se utiliza para la persistencia.
  • LNKSmasher; herramienta que genera archivos maliciosos.
  • LuaLoader; herramienta que puede cargar códigos arbitrarios escritos en el lenguaje Lua.
  • Matryoshka; después de descargar la carga útil de la primera etapa, ejecuta el malware de la segunda etapa a través de su dropper e instala la carga útil real.
  • MemComp; se utiliza para la compilación en memoria.
  • MOFComp; herramienta integrada de Windows que analiza un archivo que contiene declaraciones MOF (Managed Object Format) y agrega las clases e instancias de clases definidas en el archivo al repositorio WMI.
  • PGF; framework de puerta trasera que utiliza varios LOLBINs.
  • PXELoot; descubre y aprovecha las configuraciones incorrectas en los Servicios de implementación de Windows (WDS).
  • RedFlare; Puede generar troyanos para sistemas Windows y Linux.
  • RedFlare (GoRAT); RAT (troyano de acceso remoto) escrito en el lenguaje de programación Golang.
  • ResumePlease; plantilla de malware de Microsoft Office que incluye códigos VBA (Visual Basic for Application).
  • SharPersist; kit de herramientas de persistencia de Windows escrito en C# para FireEye Red Team.
  • SharPivot; esta herramienta ejecuta comandos en un objetivo remoto para el movimiento lateral utilizando DCOM.
  • SharpSchTask; herramienta de persistencia escrita en C# que utiliza la función de tareas programadas de Windows.
  • SharpStomp; utilidad de C# que se puede usar para modificar la creación, el último acceso y la última hora de escritura de un archivo.
  • SinfulOffice; utilizada para crear documentos maliciosos de Microsoft Office mediante la función OLE.
  • WildChild; se utiliza para crear archivos HTA (aplicación HTML) maliciosos.
  • WMIRunner; se utiliza para ejecutar comandos WMI.
  • WMISharp; incluye los comandos WMI que se utilizan en las interacciones del Red Team.
  • WMISpy; herramienta para reconocimiento y movimiento lateral.

Por su parte FireEye informó que también fueron robados exploits relacionados con 16 vulnerabilidades conocidas, a pesar de esto los expertos en seguridad afirman que esta brecha no generara un gran impacto hacia las organizaciones.

Las 16 vulnerabilidades aprovechadas por los exploits robados a FireEye son las siguientes:

  • CVE-2020-1472 – (CVSS v3.0: 10 [Crítico]) Microsoft Active Directory escalation of privileges
  • CVE-2019-11510 – (CVSS v3.0: 10 [Crítico]) Pre-auth arbitrary file reading from Pulse Secure SSL VPNs
  • CVE-2018-13379 – (CVSS v3.0: 9.8 [Crítico]) pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN
  • CVE-2018-15961 – (CVSS v3.0: 9.8 [Crítico]) RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)
  • CVE-2019-0604 – (CVSS v3.0: 9.8 [Crítico]) RCE for Microsoft Sharepoint
  • CVE-2019-0708 – (CVSS v3.0: 9.8 [Crítico]) RCE of Windows Remote Desktop Services (RDS)
  • CVE-2019-11580 – (CVSS v3.0: 9.8 [Crítico]) Atlassian Crowd Remote Code Execution
  • CVE-2019-19781 – (CVSS v3.0: 9.8 [Crítico]) RCE of Citrix Application Delivery
  • CVE-2014-1812 – (CVSS v3.0: 9.0 [Crítico]) Windows Local Privilege Escalation
  • CVE-2020-10189 – (CVSS v3.0: 9.8 [Crítico]) RCE for ZoHo ManageEngine Desktop Central
  • CVE-2019-3398 – (CVSS v3.0: 8.8 [Alto]) Confluence Authenticated Remote Code Execution
  • CVE-2020-0688 – (CVSS v3.0: 8.8 [Alto]) Remote Command Execution in Microsoft Exchange
  • CVE-2016-0167 – (CVSS v3.0: 7.8 [Alto]) Local privilege escalation on older versions of Microsoft Windows
  • CVE-2017-11774 – (phishing) (CVSS v3.0: 7.8 [Alto]) RCE en Microsoft Outlook via crafted document execution Controller and Citrix Gateway
  • CVE-2018-8581 – (CVSS v3.0: 7.4 [Alto]) Microsoft Exchange Server escalation of privileges
  • CVE-2019-8394 – (CVSS v3.0: 6.5 [Medio]) arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plu

Los expertos en seguridad recomiendan que se evalúen los sistemas frente a las vulnerabilidades anteriores y corregirlas o aplicar los parches necesarios según sea el caso, también recomiendan revisar y aplicar las contramedidas publicadas por la empresa FireEye.

Nivel de riesgo

  • Crítico

Medidas de Contención

Referencias