Détection des attaques alimentées par Brute Ratel : boîte à outils de post-exploitation utilisée par les adversaires
Table des matières :
Les adversaires ont adopté un autre outil de simulation de red teaming légitime pour échapper à la détection. En remplacement de Cobalt Strike et Metasploit’s Meterpreter vient Brute Ratel (alias BRc4) – un logiciel de simulation d’équipe rouge et d’adversaires sorti fin 2020 qui n’aide pas à créer des exploits, conçu pour fonctionner sans être détecté par les solutions de sécurité.
Une licence utilisateur unique d’un an coûte actuellement 2 500 $, vendue uniquement à des entreprises vérifiées. L’ingénieur en sécurité nommé Chetan Nayak, qui a publié le produit, a déclaré que des acteurs menaçants avaient d’une manière ou d’une autre acquis une licence de logiciel divulguée pour mener des campagnes d’attaque.
Détecter les attaques alimentées par Brute Ratel
Pour rester protégé contre les attaques activées par Brute Ratel et identifier à temps l’activité suspecte dans votre réseau, où la plupart des logiciels de sécurité n’ont pas réussi à la détecter comme malveillante, utilisez une règle Sigma désormais disponible sur la plateforme Detection as Code:
Possibilité de tentative de masquage de Version.dll (via image_load)
Cette détection s’applique à 26 formats de langage SIEM, EDR et XDR pris en charge par la plateforme de SOC Prime et est mappée au cadre MITRE ATT&CK® traitant la tactique d’évasion de défense avec le masquage (T1036) comme technique principale correspondante.
L’équipe de développeurs de contenu de SOC Prime a publié d’autres règles génériques pertinentes qui seront également utiles :
Exécution suspecte à partir d’un lecteur monté (via process_creation)
Exécution suspecte à partir d’un fichier ISO (via process_creation)
Les praticiens de la cybersécurité peuvent accéder à cet élément de contenu après s’être inscrits ou s’être connectés à la plateforme SOC Prime. Appuyez sur le bouton Detect & Hunt pour accéder à une vaste bibliothèque de contenu de détection. Cliquez sur le bouton Explore Threat Context pour accéder instantanément à la liste de contenu de détection pertinente et d’informations contextuelles exhaustives disponibles à portée de main sans inscription.
bouton Detect & Hunt bouton Explore Threat Context
Description de Brute Ratel
Brute Ratel est un framework C2 conçu pour échapper aux défenses et à l’observation. Dans les simulations d’attaques réelles, il est utilisé par les hackers de l’équipe rouge pour déployer des badgers sur des hôtes distants. Les badgers fonctionnent de manière similaire aux balises Cobalt Strike et se connectent au serveur de commande et de contrôle des hackers permettant l’exécution de code à distance. La version actuelle permet aux utilisateurs de créer des canaux de commande et de contrôle à l’aide d’outils légitimes comme Microsoft Teams, Slack et Discord. Il peut exploiter des appels système non documentés à la place des appels API Windows standard pour éviter la détection et injecter du shellcode dans les processus déjà en cours d’exécution. BRc4 dispose d’un débogueur qui reconnaît les hooks EDR et empêche de déclencher leur détection, ainsi qu’une interface visuelle pour les requêtes LDAP à travers les domaines. L’échantillon étudié a été emballé sous forme d’ISO autonome qui comprenait un fichier de raccourci Windows (LNK), une DLL malveillante et une copie légitime du programme de mise à jour Microsoft OneDrive. Lors de l’exécution de l’outil légitime, une charge utile malveillante a été déposée via un détournement de l’ordre de recherche DLL.
Palo Alto Networks’ les chercheurs rapportent que plusieurs des IP des attaquants détectés ont été tracées en Ukraine. Les victimes se trouvaient au Mexique, en Argentine et en Amérique du Nord.
Pour renforcer votre résilience cybernétique en restant informé des événements liés à l’industrie de la cybersécurité, suivez le blog SOC Prime. Vous cherchez une plateforme fiable pour distribuer votre contenu de détection tout en promouvant la défense cyber collaborative ? Rejoignez le programme de crowdsourcing de SOC Prime pour partager vos règles Sigma et YARA avec la communauté, favoriser le changement positif dans la cybersécurité et gagner un revenu stable pour votre contribution !
