15.12.2020
Огляд та рекомендації за результатами хакерської атаки на компанію FireEye
Спільно із фахівцями провідної української компанії в галузі дослідження і запобігання кіберзагроз FS Group, представниками Глобального центру взаємодії у кіберпросторі (GC3) проведено аналіз інструментів, що були викрадені у результаті хакерської атаки на компанію FireEye. Проаналізовано методологію атаки, напрацьовано рекомендації для центрів кібербезпеки (SOC) установ та організацій для зменшення ризиків від потенційних атак із використанням викрадених інструментів.

Наведений приклад хакерської атаки на одного з лідерів світового ринку кібербезпеки дає зрозуміти, що аналогічні атаки сьогодні можуть бути орієнтовані на будь-які компанії або установи, незалежно від ступеня захищеності. Навіть, якщо в теорії або на практиці, Ви і Ваша компанія володіє всіма можливими інструментами захисту і протидії - немає гарантії того, що ці ж інструменти, що використовуються (або їх розробники) не можуть бути атаковані та скомпрометовані, мимоволі ставши "ключем" для входу в Вашу інфраструктуру. Іншими словами, якщо Ваша організація ще не зазнала збитків від хакерської атаки, це в першу чергу означає, що такої атаки не було або Ви її ще не виявили, а не те, що ви на 100% захищені. Як відомо фахівцям з кібербезпеки 100% захисту просто не існує.

8 грудня 2020 року компанія FireEye (https://www.fireeye.com/) була піддана атаці через попереднє проникнення у ланцюг постачання оновлень програмного продукту Orion вендора SolarWinds. Компанія FireEye не виключає можливість викрадення зловмисниками інструментів для проведення Red Team pentest.
Дослідження компанією FireEye інциденту злому їх інфраструктури


https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Джерела Washington Post пов'язують дане вторгнення з групою кіберзлочинців APT29 (aka Cozy Bear, aka YTTRIUM та ін.), яка працює під егідою російської влади. Проте, експертам FireEye в ході внутрішнього розслідування не вдалося однозначно пов'язати атаку з APT-угрупованням, їй присвоїли внутрішню назву UNC2452. Влада Росії заперечує свою причетність до даного інциденту на офіційній сторінці в Facebook:

https://www.facebook.com/RusEmbUSA/posts/1488755328001519.
Пост на офіційній сторінці в Facebook посольства Росії в США



Зловмисники, які стоять за цією атакою, отримали доступ до численних державних і приватних організацій по всьому світу. Дії після компрометації були спрямовані, в тому числі, на крадіжку даних.

Вищезгаданій атаці піддалися такі організації, як:
  • більше 425 компаній зі списку Fortune 500 США;
  • всі десять з десяти найбільших телекомунікаційних компаній США;
  • всі п'ять видів збройних сил США;
  • Пентагон США, Державний департамент, НАСА, АНБ, поштова служба, НУОАД, Міністерство юстиції і канцелярія президента США;
  • всі п'ять з п'яти провідних бухгалтерських фірм СШA;
  • сотні університетів і коледжів по всьому світу.

Атака була проведена шляхом отримання доступу до жертв через оновлення, які містили троянське програмне забезпечення для моніторингу та управління ІТ інфраструктурою SolarWinds Orion. Підготовка до проведення вірусної кампании, можливо, почалась ще навесні 2020 року і триває на даний час.

За методом і способом зараження дана атака нагадує інциденти 2017 року (атаки WannaCry, NotPetya і їм подібні), в результаті яких постраждало безліч структур, в тому числі і державних. Зараження відбувається через оновлення ПЗ скомпрометованого вендора. В даному випадку таким розробником став SolarWinds (https://www.solarwinds.com/).

Механізм зараження, комунікації з С2 і закріплення в системі досить складний в реалізації і вимагав тривалої підготовки і планування. FireEye детально описав в звіті технічну складову.
З нею можна ознайомитися за посиланням:


https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html.

З основних особливостей атаки на FireEye через компрометацію SolarWinds можна відзначити:
  • корисне навантаження підписане цифровим підписом SolarWinds, що, в свою чергу, може свідчити про витік або компрометації цифрового підпису компанії SolarWinds;
  • період бездіяльності після зараження - до двох тижнів;
  • "мімікрія" зв'язку зараженого пристрою з С2 під API запити SolarWinds;
  • використання алгоритму генерації доменів (DGA) для зв'язку з С2;
  • для входу в систему через скомпрометовані облікові записи використовувалися IP адреси з тієї ж країна, що і жертва;
  • облікові дані, які використовувалися для бічного переміщення, завжди відрізнялися від облікових даних, які використовуються для віддаленого доступу.

Що стосується вектора поширення, тут мала місце атака на ланцюг постачання оновлень, що, в загальному понятті, вже було реалізовано при вірусній кампанії NotPetya в 2017 році через злом і поширення шкідливих оновлень. Однак, якщо у випадку з NotPetya метою були блокування систем і вимагання грошей, то інцидент з SolarWinds і наступним інфікуванням несли більш розвідувальний ніж деструктивний характер.

Ще одне відсилання до 2017 року це те, що атакам шифрувальників передував витік експлоїта EternalBlue. Так і в разі FireEye можна припустити, що вкрадені інструменти зможуть знайти своє застосування в майбутніх атаках, які вже можуть готувати кібер-кримінальні ектори.

Беручи до уваги масштаби атаки, слід зазначити, що марно вважати її завершеною, оскільки ця подія не залишила байдужими представників даркнет суспільства.
Фахівці компанії FSGroup активно моніторять даркнет майданчики і ресурси з фокусом на дану тему. У тіньовому сегменті активно обговорюється як сама тема витоку інструментів і експлойтів, так і можливі способи і комплексні вектори потенційних майбутніх атак. Зловмисниками вже можуть проектуватися і готуватися defense evasion techniques, так як відомі і загальнодоступні правила (YARA, Snort) детектування і сигнатури викрадених інструментів і експлойтів. Не виключений факт їх модифікації для подальшого використання. У хакерів з'явилася можливість тестування своїх напрацювань перед реальними "випробуваннями". Всі можливі наслідки важко передбачити, проте, це питання часу, коли це буде використано в шкідливих цілях.
Активно обговорювані теми на хакерських і даркнет форумах
Cформований список з детальним описом викрадених експлойтів і інструментів для пентеста



Детальний список ШПЗ (redteam tools), яке було викрадено у компанії FireEye наведено у таблиці:
У мережі з'явилася неперевірена інформація, яка говорить про те, що зловмисники могли завантажити ШПЗ на FTP-сервер SolarWinds за допомогою можливого витоку облікових даних в публічній гілці GitHub самої SolarWinds

(https://savebreach.com/solarwinds-credentials-exposure-led-to-us-government-fireye-breach/).
Пост в твіттері щодо потенційного способу отримання доступу до ланцюга поставок оновлення ПЗ SolarWinds


Злом Solarwinds міг статися ще в листопаді 2019 року. Вочевидь, що це не робить саму атаку менш складною у виконанні, як мінімум через наявність легітимного підпису троянізованого файлу оновлення і ряду інших не менш важко реалізуємих механізмів і засобів проникнення і закріплення в системі. Однак, це вказує ще на одну проблему і критичний момент - людський фактор. Оскільки одна помилка може призвести, згодом, до злому державних установ.

В рамках Red Team, на GitHub`е (https://github.com/fireeye/red_team_tool_countermeasures) також були розміщені вищезгадані правила, але вже щодо безпосередньо.

Негайні рекомендації щодо усунення або пом'якшення наслідків вторгнення SUNBURST:

SolarWinds рекомендує всім клієнтам негайно перейти на версію платформи Orion 2020.2.1 HF 1, яка в цей час доступна на порталі клієнтів SolarWinds. Крім того, SolarWinds опублікував додаткові інструкції (https://www.solarwinds.com/securityadvisory) .

Якщо ви не можете дотримуватися рекомендацій SolarWinds, нижче наводиться перелік негайних заходів для пом'якшення наслідків, які можуть бути застосовані як перші кроки для розв'язання проблеми вторгнення троянського ПО SolarWinds до Вашого мережевого середовища. Якщо діяльність зловмисника вже виявлена, ми рекомендуємо провести всебічне розслідування, розробити та виконати стратегію виправлення, яка базується на результатах розслідування та деталях впливу на мережеву інфраструктуру.

Переконайтесь, що сервери SolarWinds ізольовані, доки не буде проведено подальший огляд та розслідування. Це повинно включати блокування всіх вихідних з'єднань серверів SolarWinds.

Якщо інфраструктура SolarWinds не ізольована, розгляньте такі кроки: Обмежте сферу підключення до кінцевих точок із серверів SolarWinds, особливо тих, які вважатимуться активами рівня 0/jewel
Обмежити обсяг облікових записів, які мають привілеї адміністратора на серверах SolarWinds.

Блокуйте вихід до Інтернету з серверів або інших кінцевих точок за допомогою програмного забезпечення SolarWinds.

Подумайте (як мінімум) про зміну паролів для облікових записів, які мають доступ до серверів/інфраструктури SolarWinds. На підставі подальшого перегляду/розслідування можуть знадобитися додаткові заходи відновлення.
Якщо SolarWinds використовується для керованої мережевої інфраструктури, рекомендуємо провести огляд конфігурацій мережевих пристроїв на предмет несподіваних/несанкціонованих модифікацій.

Компанія FireEye виклала на GitHub індикатори компрометації, правила Yara, Snort і ClamAV (https://github.com/fireeye/sunburst_countermeasures), які вдалося отримати в ході дослідження інциденту. Крім того, в зв'язку з неможливістю виключення вірогідності витоку ПО, яке компанія FireEye використовувала для пентеста в рамках Red Team, на GitHub`е (https://github.com/fireeye/red_team_tool_countermeasures) також були розміщені вищезгадані правила, але вже щодо безпосередньо інструментів для пентеста з метою превентивних контрзаходів. З переліком, коротким описом і категоризацією викрадених у компанії FireEye експлойтів і інструментів для пентеста можна ознайомитися в Додатку 1.

У Microsoft шкідливому ПО дали назву Solorigate, також необхідно зазначити, що антивірус Defender вже отримав відповідні оновлення.

IoC:
IPs:
● 13.59.205.66
● 54.193.127.66
● 54.215.192.52
● 34.203.203.23
● 139.99.115.204
● 5.252.177.25
● 5.252.177.21
● 204.188.205.176
● 51.89.125.18
● 167.114.213.199

FQDN:
● 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]com
● gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]com
● ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]com
● k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]com
● mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com
● deftsecurity[.]com
● freescanonline[.]com
● thedoccloud[.]com
● websitetheme[.]com
● highdatabase[.]com
● incomeupdate[.]com
● databasegalore[.]com
● panhardware[.]com
● zupertech[.]com
● zupertech[.]com

SHA256:
● d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d560 0
● 53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7
● 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
● ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
● 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
● 292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712
● c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
Alienvault пульси:
● https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8
● https://otx.alienvault.com/pulse/5fd7921a5d393925fa4637ad
● https://otx.alienvault.com/pulse/5fd784068a6f0909979ac388

● https://otx.alienvault.com/pulse/5fd79a8186119453dfc01587
● https://otx.alienvault.com/pulse/5fd76bc5cd5efb2730948d80
● https://otx.alienvault.com/pulse/5fd7444b9da7d3c5f59ac388
● https://otx.alienvault.com/pulse/5fd73fdfc652d2bef5a692a
● https://otx.alienvault.com/pulse/5fd71d53d04068dd7f0c6f80
● https://otx.alienvault.com/pulse/5fd7065200ad63bdaf4637ad
● https://otx.alienvault.com/pulse/5fd6f058223d1d7855af567f
● https://otx.alienvault.com/pulse/5fa1ee5c64dc0e2060647954
● https://otx.alienvault.com/pulse/5fa1852d337eca8e99c2ec32




Додаток 1

Попередня підготовка шкідливого навантаження (Resource Development)
● Matryoshka – набір утиліт для початкового проникнення. Включає генератор шкідливого навантаження, дроппер та завантажувач.

● LNKSmasher – утиліта для генерації LNK-файлів зі шкідливим вмістом. Може застосовуватися для створення експлойтів для LNK-вразливостей.

● GadgetToJScript – публічний проект, що дозволяє впроваджувати .NET-збірки в сценарії VBS, VBA, JS, HTA.

● Redflare – фреймворк розроблений командою FireEye для проведення операцій RedTeam. Фреймворк дозволяє збирати шкідливий код для різних операційних систем.

● RESUMEPLEASE – шаблон для створення документів Microsoft Office c шкідливими VBA (Visual Basic for Application) макросами.

● SinfulOffice – утиліта для створення шкідливих документів Microsoft Office c впровадженими OLE-об'єктами.

● WildChild – утиліта для створення шкідливих файлів HTA (HTML Application)

● PrepShellCode – утиліта для підготовки шеллкода


Початковий доступ в інфраструктуру (Initial Access)
Експлойти, що застосовуються у шкідливих розсилках, що вимагають дій з боку користувачів:

● Expl-CVE-2017-11774 – експлоїт для вразливості в Microsoft Outlook


Експлоїти для вразливостей в публічних мережевих сервісах:
● Expl-CVE-2019-0708 - експлоїт для вразливості в Microsoft Remote Desktop Services (RDS), також відомої як BlueKeep.
● Expl-CVE-2019-19781 - експлоїт для уразливості в Citrix Application Delivery Controller (ADC) і Citrix Gateway
● Expl-CVE-2019-8394 - експлоїт для уразливості в Zoho ManageEngine ServiceDesk Plus (SDP)

Виконання шкідливого коду (Execution)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі. Має модулі для запуску різних команд.

● DShell - Windows-троян, написаний на мові D
● DTRIM - Модифікована версія SharpSploit - фреймворка для виконання широкого спектру постексплуатаціонних дій. Реалізовані функції запуску нативних windows-додатків, .Net-збірок, скриптів PowerShell, шеллкода безпосередньо.
● DueDLLigence - публічний проект FireEye для підготовки DLL з впровадженим шеллкодом.
● Impacket-Obfuscation - модифікована версія популярного фреймворку Impacket для проведення атак в Windows-інфраструктурі. Має різні функції виконання команд (PSExec, виконання команд через Tack Scheduler і WMI)
● In-MemoryCompilation - утиліта для компіляції шкідливого коду в пам'яті
● TrimBishop - утиліта базується на проекті RuralBishop, призначена для виконання шеллкода в контексті іншого процесу. Утиліта робить маппинг спеціалізованої секції з шеллкодом в цільової процес і створює suspended потік для виконання коду.
● C_Sharp_SectionInjection - утиліта для впровадження секцій в PE-файл

Закріплення в інфраструктурі (Persistence)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі, при використанні спільно з розширенням StayKit знаходить набір методів закріплення (реєстр, завдання планувальника, LNK, системний сервіс, WMI)
● Mofcomp - Шкідливі файли MOF (Managed Object Format) для реєстрації записів в WMI. Використовуються як механізм закріплення.
● SharPersist - публічно доступних проект FireEye для закріплення на Windows-хостах. В утиліті реалізовані різні методи закріплення: бекдор в конфігурації KeePass, завдання планувальника, додаткове завдання до існуючої завданню планувальника, ярлик в папці автозапуску, SVN hook, сервіс,
● SharPivot - консольна .Net утиліта для виконання команд на віддаленому хості. Реалізує різні техніки і протоколи: WMI, RPC, Створення нового завдання планувальника, Модифікацію завдання планувальника, WinRM, COM, реєстрацію нового сервісу, реєстрацію нового протокольного обробника
● SharpSchtask - утиліта для закріплення на хості за допомогою завдань планувальника
● Justtask - утиліта для створення завдань планувальника завдань
● Keepersist - утиліта для закріплення на хості



Отримання підвищених привілеїв (Privilege Escalation)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі. Для фреймворка доступний ElevateKit, що містить ряд експлойтів для підвищення привілеїв (CVE 2020-0796, CVE-2014-4113, CVE 2015-1701, CVE 2016-0051, CVE-2016-099)
● Sharpzerologon - публічно доступна експлойт для уразливості в сервісі Netlogon (CVE-2020-1472), що отримала назву Zerologon. Успішна експлуатація призводить до компрометації облікового запису доменного адміністратора. Код експлойта адаптований для використання з Cobalt Strike
● Expl-CVE-2014-1812 - експлоїт для уразливості Group Policy на Windows
● Expl-CVE-2016-0167 - експлоїт для уразливості Windows kernel-mode driver
● Expl-CVE-2020-1472 - експлоїт для уразливості в службі Netlogon
● Expl-CVE-2018-8581 - експлоїт для уразливості в Microsoft Exchange

Обхід засобів виявлення (Defense Evasion)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі, В складі є інструменти, що дозволяють гнучко налаштувати протокол спілкування з зараженими хостами для ускладнення мережевого виявлення.
● DTRIM - Модифікована версія SharpSploit - фреймворка для виконання широкого спектру постексплуатаціонних дій. Реалізовані функції обходу AMSI а також патчінга ETWEventWrite для відключення ETW пов'язаних з поточною діяльністю
● Matryoshka - набір утиліт для початкового проникнення. Включає генератор шкідливої навантаження, дроппер і завантажувач. Завантажувач використовує техніку Process Hollowing для приховування своєї роботи
● NoAmci - утиліта для патчінга AMSI.dll c метою обходу AMSI (Antimalware Scan Interface) при виклику методу Assembly.Load (). Використовується для впровадження .NET-збірки в сторонній процес.
● PGF - утиліта для створення бекдора. Складається з генератора шкідливої навантаження і ряду загрузчиков. Може обходити механізми Application Whitelistening шляхом впровадження DLL в легітимні процеси
● SharpStomp - утиліта для модифікації файлових атрибутів: дати створення, дати модифікації, дати останнього звернення
● NET-Assembly-Inject - утиліта для впровадження коду написаного для .Net в законне програмне забезпечення

● NetshShellCodeRunner - утиліта використовує легітимну утиліту NetSh.exe для запуску коду з шкідливою DLL

Отримання облікових записів (Credential Access)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі. До складу входять засоби для дампа облікових записів.
● Adpasshunt - утиліта для дампа паролів з Group Policy Preferences і атрибутів msSFU30Password і UserPassword Active Directory
● DTRIM - Модифікована версія SharpSploit - фреймворка для виконання широкого спектру постексплуатаціонних дій. Реалізовано функції дампа облікових записів і проведення атак на протокол Kerberos
● Excavator - утиліта для дампа пам'яті процесів. Може використовуватися для крадіжки облікових записів
● Rubeus - фреймворк для різних маніпуляцій з тікетами Kerberos, в тому числі для проведення атак перебору паролів і Kerberoasting
● Fluffy - внутрішній форк проекту Rubeus.
● Impacket-Obfuscation - модифікована версія популярного фреймворку Impacket для проведення атак в Windows-інфраструктурі. Має функції дампа секретів (SAM, LSA, NTDS.dit), проведення атак на Kerberos (Маніпуляції з Kerberos-тікетами, Golden Ticket), проведення MiTM-атак на протокол NTLM.
● InveighZero - утиліта для проведення MiTM-атак на протоколи LLMNR, NBNS, mDNS, DNS, DHCPv6
● KeeFarce - утиліта для отримання паролів з KeePass 2.x. Дані виходять шляхом впровадження DLL в працюючий процес KeePass
● PXELoot (PAL) - утиліта для дослідження і експлуатації вразливостей в конфігурації WDS (Windows Deployment Services)
● SafetyKatz - публічний проект для дампа облікових записів з процесу LSASS. Поєднує в собі модифіковану версію Mimikatz і завантажувач PE написаний на C #
● TitoSpecial - утиліта розроблена на базі проекту AndrewSpecial для дампа паролів з процесу LSASS. В утиліті використовуються техніки обходу EDR
● CredSnatcher - утиліта для крадіжки облікових даних
● WCMDump - утиліта для крадіжки облікових даних з Windows Credential Manager
● Expl-CVE-2018-13379 - експлоїт для уразливості FortiOS SSL VPN, що дозволяє отримати реєстраційні дані користувачів
● Expl-CVE-2019-11510 - експлоїт для уразливості Pulse Secure SSL VPN, що дозволяє отримати реєстраційні дані користувачів

Дослідження інфраструктури (Discovery)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі. До складу входять модулі для збору різноманітної інформації на хості і по мережі.
● Seatbelt - публічно доступна утиліта для збору різноманітної інформації з ОС Windows
● CoreHound - .Net утиліта, імовірно fork SharpHound утиліти для вивчення структури домену
Active Directory і збору всіляких даних про налаштування безпеки.
● PuppyHound - модифікована версія фреймворку SharpHound для дослідження Active Directory
● DTRIM - Модифікована версія SharpSploit - фреймворка для виконання широкого спектру постексплуатаціонних дій. Реалізовані функції отримання різних даних на рівні хоста і по мережі.
● EWSRT - Проект базується на утиліті RT-EWS для отримання різних даних з серверів Exchange, в тому числі з Office 365
● Getdomainpasswordpolicy - утиліта для отримання даних пральний політиці в домені Active Directory
● gpohunt - утиліта для отримання даних групових політик в домені Active Directory
● SharpUtils - набір утиліт, написаних на C # для запуску через метод execute assembly
фреймворка Cobalt Strike
● WMISharp - утиліта для роботи з WMI
● WMIspy - утиліта для збору даних через WMI
● modifiedsharpview - модифікована версія SharpView, утиліта для пошуку інформації в Active Directory

Переміщення по інфраструктурі (Lateral Movement)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі. Фреймворк укомплектований модулями горизонтального переміщення (PsExec, WinRM, Windows Admin Shares)
● DTRIM - Модифікована версія SharpSploit - фреймворка для виконання широкого спектру постексплуатаціонних дій. Для горизонтального переміщення використовує WMI, DCOM, Створення сервісу на віддалений хост, PowerShell Remoting.
● Impacket-Obfuscation - модифікована версія популярного фреймворку Impacket для проведення атак в Windows-інфраструктурі. Має різні функції виконання команд (PSExec, виконання команд через Tack Scheduler і WMI) а також експлоїти для вразливостей Samba (CVE-2017-7494), Kerberos (CVE-2016-0049), Netlogon (CVE-2015-0005)
● WMIRunner - утиліта для запуску команд через WMI
● SharPivot - консольна .Net утиліта для виконання команд на віддаленому хості. Реалізує різні техніки і протоколи: WMI, RPC, Створення нового завдання планувальника, Модифікацію завдання планувальника, WinRM, COM, реєстрацію нового сервісу, реєстрацію нового протокольного обробника
● Expl-CVE-2018-15961 - експлоїт для вразливості в Adobe ColdFusion
● Expl-CVE-2019-0604 - експлоїт для вразливості в Microsoft Sharepoint
● Expl-CVE-2019-0708 - експлоїт для вразливості в Microsoft Remote Desktop Services (RDS), також відомої як BlueKeep
● Expl-CVE-2019-11580 - експлоїт для вразливості в Atlassian Crowd
● Expl-CVE-2019-3398 - експлоїт для вразливості в Atlassian Confluence Server
● Expl-CVE-2020-0688 - експлоїт для вразливості в Microsoft Exchange
● Expl-CVE-2020-10189 - експлоїт для вразливості в ZoHo ManageEngine Desktop Central

Віддалене управління (Command and Control)
● Cobalt Strike - комерційний фреймворк для постексплуатаціі. Включає в себе Team Server для централізації управління скомпрометовані хостами в інфраструктурі.
● DShell - Windows-троян, написаний на мові D
● Redflare - фреймворк розроблений командою FireEye для проведення операцій RedTeam.
Включає в себе командний сервер
● GoRAT - модульний бекдор для різних систем (Windows, MacOS), є частиною фреймворка Redflare. Написаний на мові Go
● DoHC2 - розширення фреймворка Cobalt Strike для організації каналу управління через протокол DNS over HTTPS (DoH)
● prat - remote access trojan

Допоміжні утиліти
● SharpGrep - утиліта пошуку по контенту файлів
● sharpdacl - утиліта для роботи з ACL
● sharpdns - утиліта для роботи з протоколом DNS
● sharpgopher - утиліта для роботи з протоколом Gopher
● sharpnativezipper - утиліта для використання штатний засобів ОС для компресії даних
● sharpnfs - утиліта для роботи з протоколом NFS
● sharppatchcheck - утиліта для перевірки встановлених оновлень
● sharpsqlclient - SQL-клієнт
● sharpwebcrawler - Crawler веб сторінок
● sharpziplibzipper - утиліта для компресії, яка використовує libzip

Утиліти призначення яких не було встановлено:
● Allthethings
● SharpGenerator
● Lualoader
● MSBuildMe
● Revolver
● Sharpsack
● Sharpy
● red_team_materials
● sharptemplate

Інформація з посту на онлайн-ресурсі Хабр (https://habr.com/ru/post/532832/) .
Київ,
вул. Московська, 32/2,
бізнес-центр Senator