FireEye-Verletzung: Erkennung des durchgesickerten Red Team-Toolkits

[post-views]
Dezember 10, 2020 · 4 min zu lesen
FireEye-Verletzung: Erkennung des durchgesickerten Red Team-Toolkits

Diese Woche wurde die Cybersicherheitsgemeinschaft von der Nachricht erschüttert, dass eines der führenden Sicherheitsunternehmen kompromittiert wurde von einer ungenannten, hoch entwickelten APT-Gruppe. Die Gegner waren an Red-Team-Tools interessiert, die von FireEye verwendet werden, um die Sicherheit ihrer Kunden zu testen, und suchten nach Informationen zu Regierungskunden. Eine Untersuchung läuft und die F.B.I. Cyber Division ist beteiligt. Obwohl keine offiziellen Informationen über die verdächtigten Hacker gemeldet wurden, sind laut The New York Times, die beteiligten F.B.I.-Agenten spezialisiert auf die Untersuchung von Russland-bezogenen Angelegenheiten, sodass es keine Frage ist, wer der Hauptverdächtige ist.

Es wird sehr interessant sein, die Details und Ergebnisse dieser Untersuchung zu erfahren, da es nicht oft vorkommt, dass es Hackern gelingt, so gut geschützte Organisationen zu kompromittieren. Florian Roth postete in seinem Twitter-Account: „Der FireEye-Einbruch dreht sich nicht wirklich um Red-Team-Tools oder Kundendaten. Es geht um möglicherweise gestohlene vertrauliche Daten über hochkarätige Bedrohungsgruppen. Ich meine, sie wissen mehr über einige Akteure als die meisten staatlichen Geheimdiensteinrichtungen. “ Und es könnte wirklich so sein. Mit erhaltenen geheimdienstlichen Daten über andere Bedrohungsgruppen werden Hacker nicht nur in der Lage sein, ihre Aktionen zu tarnen oder effektiv „fremde“ Tools zu nutzen, sondern sogar „übernehmen“ jemandes Infrastruktur oder sie für ihre Kampagnen nutzen.

FireEye vermutet, dass die gestohlenen Tools bei Cyberangriffen eingesetzt werden, deshalb teilten sie Gegenmaßnahmen und IOCs auf ihrem GitHub-Account. Snort-, Yara-, ClamAV- und HXIOC-Regeln wurden veröffentlicht, und unser Content-Team konvertierte die konvertierbaren HXIOC-Regeln in das Sigma-Format, sodass sie in Regeln für mehrere Sicherheitsplattformen übersetzt werden können. Community-Regeln zur Erkennung des möglichen Missbrauchs von FireEye Red Team-Tools sind verfügbar auf dem Threat Detection Marketplace.

Vielen Dank an Sittikorn Sangrattanapitak, Emir Erdoganund Osman Demir, aktive Teilnehmer des Threat Bounty Programms, die ihre Regeln zur Erkennung geleakter Red Team Tools veröffentlichten.

Service Failure Abuse Methodology (via registry_event)

Sharpivot Dienstprogramm-Erkennung (via cmdline)

Verdächtige Ausführung von colorcpl.exe (via cmdline)

Verdächtiger Prozessbaum (Methodologie) (via cmdline)

TitoSpecial Memory Dump (Credential Stealer) (via file_event)

tmas_wlmhook.dll Übernahme (via imageload)

Userinit Prozessstart durch Msbuild.exe (via cmdline)

Wdscore.dll Hijack-Erkennung (via imageload)

X32BRIDGE.dll Übernahme (via image load)

FireEye Red Team-Tools-Erkennung

Verdächtige Kindprozesse Werfault.exe

FireEye Red Team Tool – MSBUILDME Verdächtige Ausführung von userinit.exe

FireEye Red Team Tool – Verdächtiges DLL-Laden (via ImageLoad)

FireEye Red Team Tool- DISM-Ausführung an verdächtigem Ort

FireEye Red Team Tool- RegAsm Elternprozess

Fireye Red Team Tool- RUNDLL32 Verdächtige Ausführung (via cmdline)

Fireeye Red Team Tool- texttransform.exe Elternprozess

Mögliche tmas_wlmhook.dll Übernahme (via imageload)

Mögliche ui.dll Übernahme (via imageload)

Mögliche splash_screen.dll Übernahme (via imageload)

Mögliche sidebar.dll Übernahme (via imageload)

Mögliche ushata.dll Übernahme (via imageload)

FireEye Red Team Tool – G2JS Verdächtiger Prozessbaum

FireEye Red Team Tool – G2JS Verdächtige Ausführung von colorcpl.exe

Mögliche fmtoptions.dll Übernahme (via imageload)

Mögliche nflogger.dll Übernahme (via imageload)

Mögliche Wdscore.dll Übernahme (via imageload)

Mögliche X32BRIDGE.dll Übernahme (via imageload)

Mögliche msi.dll Übernahme (via imageload)

FireEye Red Team Tool – Modifizierte Impacket WMIEXEC (via cmdline)

PAX DISM WIM-Einbindung (via cmdline)

Ungewöhnlicher SearchProtocolHost-Kindprozess (via cmdline)

Mögliche LNK SMASHER Dienstprogramm (via cmdline)

Mögliche IMPACKET-OBFUSCATION WMIEXEC oder SMBEXEC Dienstprogramm (via cmdline)

Mögliche LIBVLC.dll Übernahme (via imageload)

Mögliche mcutil.dll Übernahme (via imageload)

Mögliche pt1.aym Übernahme (via imageload)

Mögliche potplayer.dll Übernahme (via imageload)

Mögliche pc2msupp.dll Übernahme (via imageload)

Mögliche packageIdentification.dll Übernahme (via imageload)

Fireeye Red Team Tool – execavator.exe (via registry)

Mögliche hpcustpartui.dll Übernahme (via imageload)

Mögliche goopdate Übernahme (via imageload)

Mögliche elogger.dll Übernahme (via imageload)

Mögliche dwmapi.dll Übernahme (via imageload)

Mögliche dismcore.dll Übernahme (via imageload)

Mögliche crshhndl.dll Übernahme (via imageload)

Mögliche chrome_frame_helper.dll Übernahme (via imageload)

Mögliche ccl110u.dll Übernahme (via imageload)

Mögliche ashldres.dll Übernahme (via imageload)

Mögliche api-ms-win-downelevel-shell32-l1-1-.dll Übernahme (via imageload)

Mögliche anything.cpl oder anything.dll Übernahme (via imageload)

FireEye Red Team Tool – Modifizierte Impacket SMBEXEC (via registry)

FireEye Red Team Tool – Modifizierte Impacket SMBEXEC (via cmdline)

Ungewöhnlicher installutil-Kindprozess (via cmdline)

Mögliche cclib.dll Übernahme (via imageload)

Mögliche mscorsvc.dll Übernahme (via imageload)

Möglicher MSBuild-Missbrauch (via cmdline)

COM CLSID-Registrierungsvorgang (via registry)

Systemsteuerungselemente (via cmdline)

Fireeye Red Team Tool – execavator.exe (via cmdline)

DISM Netzwerkaktivität (via network)

Ungewöhnlicher DISM-Kindprozess (via cmdline)

FireEye Red Team Tool – ADPASSHunt (via cmdline)




War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko