Erkennung von Brute-Ratel-gestützten Angriffen: Post-Exploitation-Toolkit, das von Gegnern genutzt wird

[post-views]
Juli 11, 2022 · 3 min zu lesen
Erkennung von Brute-Ratel-gestützten Angriffen: Post-Exploitation-Toolkit, das von Gegnern genutzt wird

Gegner haben ein weiteres legitimes Red-Teaming-Simulationstool übernommen, um der Erkennung zu entgehen. Anstelle von Cobalt Strike und Metasploit’s Meterpreter kommt Brute Ratel (auch bekannt als BRc4) – eine Red-Team- und Gegner-Simulationssoftware, die Ende 2020 veröffentlicht wurde und nicht für die Erstellung von Exploits hilft, entwickelt, um unentdeckt von Sicherheitslösungen zu arbeiten.

Eine Ein-Benutzer-Einjahreslizenz kostet derzeit 2.500 US-Dollar und wird nur an verifizierte Unternehmen verkauft. Der Sicherheitsingenieur namens Chetan Nayak, der das Produkt veröffentlicht hat, behauptete, dass Bedrohungsakteure irgendwie eine geleakte Softwarelizenz erworben haben, um Angriffs-Kampagnen auszuführen.

Erkennung von Brute Ratel-basierten Angriffen

Um sich gegen Brute Ratel-aktivierte Angriffe zu schützen und verdächtige Aktivitäten in Ihrem Netzwerk rechtzeitig zu identifizieren, wo die meisten Sicherheitssoftware es nicht als bösartig erkannte, nutzen Sie eine dedizierte Sigma-Regel die jetzt in der Detection as Code-Plattform verfügbar ist:

Möglicher Version.dll-Tarnversuch (via image_load)

Diese Erkennung ist auf 26 SIEM-, EDR- und XDR-Sprachformate anwendbar, die von der SOC Prime-Plattform unterstützt werden und ist mit dem MITRE ATT&CK®-Framework verbunden, das die Defense Evasion-Taktik mit dem Masquerading (T1036) als primäre Technik adressiert.

Das Content-Entwicklerteam von SOC Prime hat weitere relevante generische Regeln veröffentlicht, die ebenfalls nützlich sein werden:

Verdächtige Ausführung von eingehängtem Laufwerk (via process_creation)

Verdächtige Ausführung von ISO-Datei (via process_creation)

Cyber-Sicherheits-Praktiker können auf diesen Inhaltsartikel zugreifen, nachdem sie sich bei der SOC Prime-Plattform angemeldet haben. Drücken Sie die Erkennen & Jagen -Taste, um auf eine umfangreiche Bibliothek von Erkennungsinhalten zuzugreifen. Klicken Sie auf die Erkunde Bedrohungskontext -Taste, um sofortigen Zugang zur Liste der relevanten Erkennungsinhalte und umfassenden kontextuellen Informationen am Puls Ihrer Finger zu erhalten, ohne Registrierung.

Erkennen & Jagen Erkunde Bedrohungskontext

Beschreibung von Brute Ratel

Brute Ratel ist ein C2-Framework, das entwickelt wurde, um Abwehrmaßnahmen und Beobachtung zu entgehen. In Simulationen realer Angriffe wird es von Red-Team-Hackern verwendet, um Badgers auf Remote-Hosts bereitzustellen. Badgers funktionieren ähnlich wie Cobalt Strike Beacons und verbinden sich mit dem Kommandoserver der Hacker, was Remote-Code-Ausführung ermöglicht. Die aktuelle Version ermöglicht den Benutzern, Command-and-Control-Kanäle mit legitimen Tools wie Microsoft Teams, Slack und Discord zu erstellen. Es kann undokumentierte Syscalls anstelle der Standard-Windows-API-Aufrufe nutzen, um der Erkennung zu entgehen und Shellcode in bereits laufende Prozesse zu injizieren. BRc4 verfügt über einen Debugger, der EDR-Hooks erkennt und deren Erkennung verhindert, sowie eine visuelle Schnittstelle für LDAP-Abfragen über Domänen hinweg. Die untersuchte Probe wurde als eigenständiges ISO verpackt, das eine Windows-Verknüpfungsdatei (LNK), eine bösartige DLL und eine legitime Kopie des Microsoft OneDrive Updaters enthielt. Beim Ausführen des legitimen Tools wurde eine schädliche Nutzlast durch DLL-Suchreihenfolgen-Entführung abgelegt.

Forschung von Palo Alto Networksberichten, dass mehrere der erkannten Angreifer-IP-Adressen zur Ukraine zurückverfolgt wurden. Die Opfer befanden sich in Mexiko, Argentinien und Nordamerika.

Um Ihre Cyber-Resilienz zu stärken, indem Sie über die Ereignisse der Cyber-Sicherheitsbranche auf dem Laufenden bleiben, folgen Sie dem SOC Prime Blog. Suchen Sie nach einer vertrauenswürdigen Plattform, um Ihre Erkennungsinhalte zu verteilen und gleichzeitig die kollaborative Cyber-Verteidigung zu fördern? Treten Sie dem Crowdsourcing-Programm von SOC Prime bei, um Ihre Sigma- und YARA-Regeln mit der Community zu teilen, positive Veränderungen im Bereich der Cybersicherheit voranzutreiben und ein stabiles Einkommen für Ihre Beiträge zu verdienen!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards SOC Prime kündigt Empfehlungsprogramm für individuelle Cyber-Verteidiger an 3 min zu lesen SOC Prime Plattform SOC Prime kündigt Empfehlungsprogramm für individuelle Cyber-Verteidiger an by Daryna Olyniychuk
Alle Nachrichten