Rilevazione degli Attacchi Alimentati da Brute Ratel: Strumenti di Post-Sfruttamento Utilizzati dagli Avversari
Indice:
Gli avversari hanno adottato un altro strumento legittimo di simulazione red-teaming per eludere il rilevamento. In sostituzione di Cobalt Strike e Metasploit’s Meterpreter arriva Brute Ratel (detto anche BRc4) – un software di simulazione per red team e avversari rilasciato alla fine del 2020 che non aiuta a creare exploit, progettato per operare inosservato dalle soluzioni di sicurezza.
Una licenza per un singolo utente di un anno costa attualmente $2,500, venduta solo a compagnie verificate. Un ingegnere della sicurezza di nome Chetan Nayak, che ha rilasciato il prodotto, ha affermato che gli attori della minaccia hanno acquisito in qualche modo una licenza software trapelata per condurre campagne di attacco.
Rileva Attacchi Alimentati da Brute Ratel
Per proteggersi dagli attacchi abilitati da Brute Ratel e identificare tempestivamente l’attività sospetta nella tua rete, dove la maggior parte del software di sicurezza non è riuscita a rilevarla come dannosa, utilizza una regola Sigma ora disponibile sulla piattaforma Detection as Code:
Possibile Tentativo di Mascheramento Version.dll (via image_load)
Questo rilevamento è applicabile a 26 formati di linguaggio SIEM, EDR e XDR supportati dalla piattaforma di SOC Prime ed è mappato sul framework MITRE ATT&CK® affrontando la tattica di Evasione di Difesa con Mascheramento (T1036) come tecnica principale corrispondente.
Il team di sviluppatori di contenuti di SOC Prime ha rilasciato altre regole generiche pertinenti che torneranno utili:
Esecuzione Sospetta da Unità Montata (via process_creation)
Esecuzione Sospetta da File ISO (via process_creation)
I professionisti della cybersecurity possono accedere a questo elemento di contenuto dopo essersi registrati o aver eseguito l’accesso alla piattaforma di SOC Prime. Premi il pulsante Detect & Hunt per accedere a un’ampia biblioteca di contenuti di rilevamento. Clicca il pulsante Explore Threat Context per accedere istantaneamente all’elenco del contenuto di rilevamento pertinente e informazioni contestuali esaustive disponibili a portata di mano senza registrazione.
Detect & Hunt Explore Threat Context
Descrizione di Brute Ratel
Brute Ratel è un framework C2 progettato per eludere le difese e l’osservazione. Nelle simulazioni di attacchi reali, è utilizzato dai red team hacker per distribuire badgers sugli host remoti. I badgers funzionano in modo simile ai beacon di Cobalt Strike e si collegano al server di comando e controllo degli hacker consentendo l’esecuzione remota di codice. La versione attuale consente agli utenti di creare canali di comando e controllo utilizzando strumenti legittimi come Microsoft Teams, Slack e Discord. Può sfruttare syscall non documentate al posto delle chiamate API standard di Windows per evitare il rilevamento e iniettare shellcode nei processi già in esecuzione. BRc4 dispone di un debugger che riconosce gli hook EDR e impedisce l’attivazione del loro rilevamento, oltre a un’interfaccia visiva per le query LDAP tra domini. Il campione studiato era confezionato come un ISO autonomo che includeva un file di scorciatoia Windows (LNK), una DLL dannosa e una copia legittima di Microsoft OneDrive Updater. All’esecuzione dello strumento legittimo, un payload dannoso è stato rilasciato tramite hijacking dell’ordine di ricerca DLL.
I ricercatori diI ricercatori di
riportano che alcuni degli IP degli attaccanti rilevati sono stati rintracciati in Ucraina. Le vittime erano situate in Messico, Argentina e Nord America. Per rafforzare la tua resilienza informatica rimanendo aggiornato sugli eventi relativi all’industria della cybersecurity, segui ilblog di SOC Prime . Cerchi una piattaforma fidata dove distribuire i tuoi contenuti di rilevamento promuovendo la difesa informatica collaborativa? Unisciti al per condividere le tue regole Sigma e YARA con la comunità, guidare un cambiamento positivo nella cybersecurity e ottenere un reddito stabile per il tuo contributo!
