FireEye 침해: 유출된 레드 팀 툴킷 탐지

[post-views]
12월 10, 2020 · 4 분 읽기
FireEye 침해: 유출된 레드 팀 툴킷 탐지

이번 주 사이버 보안 커뮤니티는 최상위 보안 업체 중 하나가 침해되었다는 소식에 충격을 받았습니다. 공격자들은 FireEye가 고객의 보안을 테스트하기 위해 사용하는 Red Team 도구에 관심을 갖고 정부 고객과 관련된 정보를 찾고 있었습니다. 조사가 진행 중이며 F.B.I. 사이버 부서가 관여하고 있습니다. 의심되는 해커에 대한 공식 정보는 보고되지 않았지만, The New York Times에 따르면, 관여된 F.B.I. 요원들은 러시아 관련 사건 조사를 전문으로 하고 있으므로, 주요 용의자가 누구인지에 대한 의문은 없습니다.

이 같은 잘 보호된 조직을 해커가 어떻게 성공적으로 침해했는지에 대한 세부사항과 조사 결과가 매우 흥미로울 것입니다. Florian Roth 는 그의 트위터 계정에 이렇게 게시했습니다: “FireEye 침해는 실제로 레드 팀 도구나 고객 데이터에 관한 것이 아닙니다. 이것은 주목받는 위협 그룹에 대한 기밀 데이터의 탈취 가능성에 관한 것입니다. 그들은 일부 액터에 대해 대부분의 국가의 정보 기구보다 더 많이 알고 있습니다.” 사실 그럴 수도 있습니다. 다른 위협 그룹에 대한 정보 데이터를 받으면서, 해커들은 자신의 행동을 위장하거나 ‘다른 사람의’ 도구를 효과적으로 사용할 수 있을 뿐만 아니라 심지어 “인프라를 하이재킹하거나” 자신들의 캠페인에 사용할 수도 있습니다.

FireEye는 도둑맞은 도구들이 사이버 공격에 사용될 것이라고 생각하여, 그들의 GitHub 계정에 대응 조치와 IOC를 공유했습니다. Snort, Yara, ClamAV, 그리고 HXIOC 규칙들이 게시되었고, 우리의 콘텐츠 팀은 변환 가능한 HXIOC 규칙들을 Sigma 포맷으로 변환하여 다양한 보안 플랫폼에 대한 규칙으로 번역할 수 있도록 했습니다. FireEye Red Team 도구의 가능한 남용을 탐지하기 위한 커뮤니티 규칙들은 Threat Detection Marketplace.

감사합니다 Sittikorn Sangrattanapitak, Emir Erdogan, 및 Osman Demir, 활발한 참가자들이었던 위협 바운티 프로그램에 참여하여 유출된 Red Team 도구를 탐지하기 위한 규칙을 게시하였습니다.

서비스 실패 남용 방법론 (레지스트리 이벤트 통해)

Sharpivot 유틸리티 탐지 (cmdline 통해)

colorcpl.exe의 의심스러운 실행 (cmdline 통해)

의심스러운 프로세스 트리 (방법론) (cmdline 통해)

TitoSpecial 메모리 덤프 (자격 증명 스틸러) (파일 이벤트 통해)

tmas_wlmhook.dll 하이재킹 (이미지 로드 통해)

Msbuild.exe에 의한 사용자초기화 프로세스 실행 (cmdline 통해)

Wdscore.dll 하이재킹 탐지 (이미지 로드 통해)

X32BRIDGE.dll 하이재킹 (이미지 로드 통해)

FireEye Red Team 도구 탐지

의심스러운 자식 프로세스 Werfault.exe

FireEye Red Team 도구 – MSBUILDME userinit.exe의 의심스러운 실행

Fireeye Red Team 도구 – 의심스러운 DLL 로드 (ImageLoad 통해)

Fireeye Red Teal 도구- 의심스러운 위치에서의 Dism 실행

Fireeye Red Team 도구- RegAsm 부모 프로세스

Fireye Red Team 도구- RUNDLL32 의심스러운 실행 (cmdline 통해)

Fireeye Red Team 도구- texttransform.exe 부모 프로세스

tmas_wlmhook.dll 하이재킹 가능성 (이미지 로드 통해)

ui.dll 하이재킹 가능성 (이미지 로드 통해)

splash_screen.dll 하이재킹 가능성 (이미지 로드 통해)

sidebar.dll 하이재킹 가능성 (이미지 로드 통해)

ushata.dll 하이재킹 가능성 (이미지 로드 통해)

FireEye Red Team 도구 – G2JS 의심스러운 프로세스 트리

FireEye Red Team 도구 – G2JS colorcpl.exe의 의심스러운 실행

fmtoptions.dll 하이재킹 가능성 (이미지 로드 통해)

nflogger.dll 하이재킹 가능성 (이미지 로드 통해)

Wdscore.dll 하이재킹 가능성 (이미지 로드 통해)

X32BRIDGE.dll 하이재킹 가능성 (이미지 로드 통해)

msi.dll 하이재킹 가능성 (이미지 로드 통해)

FireEye Red Team 도구 – 수정된 Impacket WMIEXEC (cmdline 통해)

PAX dism WIM 마운트 (cmdline 통해)

비정상적인 SearchProtocolHost 자식 프로세스 (cmdline 통해)

LNK SMASHER 유틸리티 가능성 (cmdline 통해)

IMPACKET-OBFUSCATION WMIEXEC 또는 SMBEXEC 유틸리티 가능성 (cmdline 통해)

LIBVLC.dll 하이재킹 가능성 (이미지 로드 통해)

mcutil.dll 하이재킹 가능성 (이미지 로드 통해)

pt1.aym 하이재킹 가능성 (이미지 로드 통해)

potplayer.dll 하이재킹 가능성 (이미지 로드 통해)

pc2msupp.dll 하이재킹 가능성 (이미지 로드 통해)

packageIdentification.dll 하이재킹 가능성 (이미지 로드 통해)

Fireeye Red Team 도구 – execavator.exe (레지스트리 통해)

hpcustpartui.dll 하이재킹 가능성 (이미지 로드 통해)

goopdate 하이재킹 가능성 (이미지 로드 통해)

elogger.dll 하이재킹 가능성 (이미지 로드 통해)

dwmapi.dll 하이재킹 가능성 (이미지 로드 통해)

dismcore.dll 하이재킹 가능성 (이미지 로드 통해)

crshhndl.dll 하이재킹 가능성 (이미지 로드 통해)

chrome_frame_helper.dll 하이재킹 가능성 (이미지 로드 통해)

ccl110u.dll 하이재킹 가능성 (이미지 로드 통해)

ashldres.dll 하이재킹 가능성 (이미지 로드 통해)

api-ms-win-downloevel-shell32-l1-1-.dll 하이재킹 가능성 (이미지 로드 통해)

anything.cpl 또는 anything.dll 하이재킹 가능성 (이미지 로드 통해)

FireEye Red Team 도구 – 수정된 Impacket SMBEXEC (레지스트리 통해)

FireEye Red Team 도구 – 수정된 Impacket SMBEXEC (cmdline 통해)

비정상적인 installutil 자식 프로세스 (cmdline 통해)

cclib.dll 하이재킹 가능성 (이미지 로드 통해)

mscorsvc.dll 하이재킹 가능성 (이미지 로드 통해)

MSBuild 악용 가능성 (cmdline 통해)

COM CLSID 레지스트리 활동 (레지스트리 통해)

제어판 항목 (cmdline 통해)

Fireeye Red Team 도구 – execavator.exe (cmdline 통해)

DISM 네트워크 활동 (네트워크 통해)

비정상적인 DISM 자식 프로세스 (cmdline 통해)

FireEye Red Team 도구 – ADPASSHunt (cmdline 통해)




이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물