Detección de Ataques Impulsados por Brute Ratel: Kit de Herramientas de Post-explotación Utilizado por Adversarios
Tabla de contenidos:
Los adversarios adoptaron otra herramienta legítima de simulación de equipo rojo para evadir la detección. En reemplazo de Cobalt Strike y Metasploit’s Meterpreter llega Brute Ratel (también conocido como BRc4), un software de simulación de equipos rojos y adversarios lanzado a fines de 2020 que no ayuda a crear exploits, diseñado para operar sin ser detectado por soluciones de seguridad.
Una licencia de un solo usuario por un año actualmente cuesta $2,500, y se vende solo a empresas verificadas. Un ingeniero de seguridad llamado Chetan Nayak, quien lanzó el producto, afirmó que actores de amenazas de alguna manera adquirieron una licencia de software filtrada para ejecutar campañas de ataque.
Detectar ataques impulsados por Brute Ratel
Para mantenerse protegido contra ataques habilitados por Brute Ratel e identificar a tiempo la actividad sospechosa en su red, donde la mayoría del software de seguridad no logró detectarlo como malicioso, utilice una Regla Sigma ahora disponible en la plataforma Detection as Code:
Posible intento de suplantación de Version.dll (mediante image_load)
Esta detección es aplicable a 26 formatos de lenguaje SIEM, EDR y XDR compatibles con la plataforma de SOC Prime y está mapeada al marco MITRE ATT&CK®, abordando la táctica de Evasión de Defensa con la técnica principal correspondiente de Suplantación (T1036).
El equipo de desarrolladores de contenido de SOC Prime ha lanzado otras reglas genéricas relevantes que también serán de utilidad:
Ejecución sospechosa desde unidad montada (mediante process_creation)
Ejecución sospechosa desde archivo ISO (mediante process_creation)
Los profesionales de ciberseguridad pueden acceder a este elemento de contenido después de registrarse o iniciar sesión en la plataforma de SOC Prime. Presione el botón Detectar y buscar para acceder a una vasta biblioteca de contenido de detección. Haga clic en el botón Explorar contexto de amenazas para obtener acceso instantáneo a la lista de contenido de detección relevante e información contextual exhaustiva disponible a su alcance sin necesidad de registrarse.
Detectar y buscar Explorar contexto de amenazas
Descripción de Brute Ratel
Brute Ratel es un marco C2 diseñado para evadir defensas y observación. En simulaciones de ataques de la vida real, es usado por hackers de equipo rojo para desplegar tejones en hosts remotos. Los tejones funcionan de manera similar a los balizas de Cobalt Strike y se conectan al servidor de comando y control de los hackers, permitiendo la ejecución remota de código. La versión actual permite a los usuarios crear canales de comando y control utilizando herramientas legítimas como Microsoft Teams, Slack y Discord. Puede aprovechar las syscalls no documentadas en lugar de llamadas estándar a la API de Windows para evitar la detección e inyectar shellcode en procesos ya en ejecución. BRc4 presenta un depurador que reconoce enganches EDR y evita activar su detección, así como una interfaz visual para consultas LDAP a través de dominios. La muestra estudiada fue empaquetada como un ISO autónomo que incluía un archivo de acceso directo de Windows (LNK), una DLL maliciosa y una copia legítima del actualizador de Microsoft OneDrive. Al ejecutar la herramienta legítima, se soltó una carga útil maliciosa mediante el secuestro del orden de búsqueda de DLL.
Investigadores de Palo Alto Networksreportan que varias de las IPs de los atacantes detectados fueron rastreadas hasta Ucrania. Las víctimas se encontraban en México, Argentina y América del Norte.
Para reforzar su ciberresiliencia manteniéndose al tanto de los eventos relacionados con la industria de la ciberseguridad, siga el blog de SOC Prime. ¿Busca una plataforma confiable para distribuir su contenido de detección mientras promueve la defensa cibernética colaborativa? Únase al programa de crowdsourcing de SOC Prime para compartir sus reglas Sigma y YARA con la comunidad, impulsar un cambio positivo en la ciberseguridad y ganar un ingreso estable por su contribución!
