0
0
Em uma nova campanha que recebe uma página da ameaça persistente avançada conhecida como APT29, os hackers estão se afastando do kit de ferramentas pós-exploração Cobalt Strike, em vez disso, adotando Brute Ratel C4 (BRc4).
O BRc4 é o mais recente iniciante no mundo das ferramentas da equipe vermelha; como o Cobalt Strike, é uma ferramenta de simulação de ataque contraditório projetada para testadores de penetração. É uma estrutura de comando e controle (C2) que não é facilmente detectada pela tecnologia de detecção e resposta de terminais (EDR) ou outras ferramentas antimalware.
Um relatório da equipe de pesquisa da Unidade 42 da Palo Alto Networks encontrou evidências de atacantes subvertendo as proteções de licenciamento gratuito de Brute Ratel e utilizando a ferramenta para executar campanhas de ataque criminoso.
A infraestrutura que eles descobriram é extensa, observaram os pesquisadores.
“Em termos de C2, descobrimos que a amostra chamou de lar um endereço IP da Amazon Web Services (AWS) localizado nos Estados Unidos sobre a porta 443”, explicaram eles. “Além disso, o certificado X.509 na porta de escuta foi configurado para se passar por Microsoft com um nome de organização de ‘Microsoft’ e unidade de organização de ‘Segurança’.”
Girando no certificado e outros artefatos, “identificamos um total de 41 endereços IP maliciosos, nove amostras BRc4 e mais três organizações em toda a América do Norte e do Sul que foram impactadas por essa ferramenta até agora”, acrescentaram.
Técnicas de Vida Fora da Terra
A Unidade 42 disse que a amostra que utiliza o BRc4 usa técnicas conhecidas do APT29, incluindo aplicativos conhecidos de armazenamento em nuvem e colaboração on-line. Neste caso, a amostra estudada foi empacotada como uma ISO independente que incluía um arquivo LNK de atalho do Windows, uma biblioteca de carga útil maliciosa e uma cópia legítima do Microsoft OneDrive Updater.
“As tentativas de executar o aplicativo benigno a partir da pasta montada em ISO resultaram no carregamento da carga útil maliciosa como uma dependência por meio de uma técnica conhecida como sequestro de ordens de pesquisa DLL”, explicou o relatório.
Essa técnica de uso de ferramentas legítimas e utilitários nativos é conhecida como “viver da terra”, e os atores de ameaças estão usando cada vez mais binários vivos fora da terra (LOLBins) para descartar cargas úteis maliciosas.
Na semana passada, por exemplo, pesquisadores da Cyble relataram um aumento nos construtores baseados em arquivos LNK crescendo em popularidade nos mercados da Dark Web, à medida que várias famílias de malware se apoiam neles para entrega de carga útil.
“Observamos um número cada vez maior de atores de ameaças de alto perfil voltando para . Arquivos LNK para entregar suas cargas úteis”, escreveram os pesquisadores da Cyble. “Normalmente, os atores de ameaças usam LOLBins em tais mecanismos de infecção porque torna a detecção de atividades maliciosas significativamente mais difícil.”
Onde as ferramentas da equipe vermelha se encaixam
Ferramentas como Cobalt Strike e BRc4 não são abordagens puramente vivas, “já que você ainda precisa introduzir um malware no sistema em vez de usar os sistemas operacionais integrados à ferramental”, explica Tim McGuffin, diretor de engenharia adversa da LARES Consulting.
No entanto, essas ferramentas são, no entanto, populares entre os atacantes por sua capacidade de fugir dos mecanismos de detecção, fundamentalmente pela mesma razão que um ataque ao vivo funciona – porque, de outra forma, são vistos como software legítimo.
“Brute Ratel é uma ferramenta legítima que pode estar presente nas redes de vítimas”, explica John Bambenek, principal caçador de ameaças da Netenrich. “Como seu uso provavelmente está na lista branca, ele permite que os atacantes operem de forma mais discreta do que seriam capazes de fazer de outra forma.”
Este é um ciclo infeliz que o mundo da segurança tem visto ocorrer por um longo tempo, já que os atacantes são atraídos por ferramentas de equipe vermelha, como moscas para o mel.
De acordo com Ivan Righi, analista sênior de inteligência contra ameaças cibernéticas da Digital Shadows, não é surpresa que o BRc4 seja uma ferramenta atraente. Não só possui recursos de segurança ofensivos semelhantes ao Cobalt Strike que pode ser abusado para fins maliciosos, mas também é menos conhecido do que o Cobalt Strike.
“Muitas soluções de segurança ainda podem não detectar Brute Ratel como malicioso, ao contrário do Cobalt Strike, que geralmente é mais conhecido por ser usado para fins maliciosos”, diz Righi.
De acordo com McGuffin, os profissionais de segurança devem se preocupar com todos os kits de ferramentas como esses, sejam eles de código aberto, comerciais ou personalizados. Mas ele acredita que eles não devem ser pegos no jogo de detecção da estrutura ou da própria ferramenta. Em vez disso, eles devem se concentrar em endurecer seus sistemas.
“Uma ênfase no endurecimento do ponto final pode ser colocada na prevenção contra qualquer ferramenta C2. Um exemplo é a orientação “Application Allow-listing” da Microsoft Attack Surface Reduction”, diz ele. “A configuração impede que binários desconhecidos sejam introduzidos e o endurecimento da saída da rede para evitar retornos de chamada C2 para servidores de comando e controle.”
FONTE: DARK READING