ブルートラットル主導の攻撃検出：敵対者によるポストエクスプロイトツールキットの活用

攻撃者は、検出を回避するために、さらに別の正当なレッドチーミングシミュレーションツールを採用しました。その代わりとして Cobalt Strike とMetasploitの Meterpreter がBrute Ratel（別名BRc4）になり、2020年後半にリリースされたレッドチームおよび攻撃者シミュレーションソフトウェアで、エクスプロイトの作成を支援せず、セキュリティソリューションによって検出されずに動作するように設計されています。

単一ユーザーの1年間のライセンスは現在$2,500で、検証済みの企業にのみ販売されています。製品をリリースしたセキュリティエンジニアのChetan Nayakは、脅威アクターがリークされたソフトウェアのライセンスを何らかの方法で入手し、攻撃キャンペーンを運営していると主張しました。

Brute Ratelを利用した攻撃を検出する

Brute Ratelを利用した攻撃から保護し、ネットワーク内の疑わしい活動をタイムリーに特定するために、専用の Sigmaルール を利用してください。このルールはDetection as Codeプラットフォームで利用可能です。

可能性のあるVersion.dllの偽装試み（image_load経由）

この検出は、SOC Primeのプラットフォームによってサポートされている26のSIEM、EDR、XDR言語形式に適用され、MITRE ATT&CK®フレームワークにマッピングされており、マスカレーディング（T1036）を対応する主要技術として防御回避の戦術に対応しています。

SOC Primeのコンテンツ開発チームは、他の関連する汎用ルールもリリースしており、以下のものも役に立ちます。

マウントされたドライブからの疑わしい実行（process_creation経由）

ISOファイルからの疑わしい実行（process_creation経由）

サイバーセキュリティの専門家は、SOC Primeのプラットフォームにサインアップまたはログインすることで、このコンテンツアイテムにアクセスできます。「 検出とハント 」ボタンを押すことで、豊富な検出コンテンツライブラリにアクセスします。「 脅威コンテキストを探索 」ボタンをクリックすると、登録不要で関連する検出コンテンツのリストと多くのコンテキスト情報に即座にアクセスできます。

検出とハント 脅威コンテキストを探索

Brute Ratelの説明

Brute Ratelは、防御や観察を回避するために設計されたC2フレームワークです。実際の攻撃のシミュレーションでは、リモートホストにバジャーをデプロイするためにレッドチームのハッカーによって使用されます。バジャーは、Cobalt Strikeビーコンと同様に機能し、ハッカーのコマンド＆コントロールサーバーに接続してリモートコード実行を可能にします。現在のバージョンでは、Microsoft Teams、Slack、Discordのような正当なツールを使用してコマンド＆コントロールチャネルを作成することが可能です。標準のWindows APIコールの代わりに未公開のシステムコールを使用して検出を回避し、既に実行中のプロセスにシェルコードを注入できます。BRc4は、EDRフックを認識してその検出をトリガーしないデバッガを備え、ドメイン全体のLDAPクエリ用のビジュアルインターフェイスを持っています。調査されたサンプルは、Windowsショートカット（LNK）ファイル、悪意のあるDLL、およびMicrosoft OneDrive Updaterの正規のコピーを含んだ自己完結型ISOとしてパッケージ化されていました。正規のツールが実行されると、DLL検索順序ハイジャックを通じて悪意のあるペイロードがドロップされました。

Palo Alto Networksの研究者は、検出された攻撃者のIPのいくつかがウクライナにトレースされたと報告しています。被害者はメキシコ、アルゼンチン、および北アメリカに位置していました。

サイバーセキュリティ業界に関するイベントに常に精通し、サイバー耐性を強化するために、 SOC Primeのブログをフォローしてください。検出コンテンツを配信しながら協力的なサイバー防御を促進する信頼できるプラットフォームを探していますか？ SOC Primeのクラウドソーシングプログラム に参加して、SigmaとYARAルールをコミュニティと共有し、サイバーセキュリティにポジティブな変化をもたらし、貢献に対して安定した収入を得ましょう！