Brute Ratel 기반 공격 탐지: 공격자들이 활용하는 포스트 익스플로잇 도구킷

공격자는 탐지를 피하기 위해 또 다른 정당한 레드팀 시뮬레이션 도구를 채택했습니다. 코발트 스트라이크 및 메타스플로잇의 미터프리터 대체할 수 있는 Brute Ratel (일명 BRc4)이 2020년 말에 출시되었습니다. 이는 보안 솔루션에 의해 탐지되지 않고 운영하도록 설계된 레드팀 및 적대자 시뮬레이션 소프트웨어입니다.

단일 사용자 1년 라이센스는 현재 $2,500이며, 검증된 회사에게만 판매됩니다. 제품을 출시한 보안 엔지니어 Chetan Nayak는 위협 행위자가 어떻게든 유출된 소프트웨어 라이센스를 획득하여 공격 캠페인을 실행했다고 주장했습니다.

Brute Ratel 구동 공격 탐지

Brute Ratel 활성 공격으로부터 보호하고 네트워크에서 의심스러운 활동을 시기적절하게 식별하려면 대부분의 보안 소프트웨어가 악성으로 탐지하지 못한 경우 전용 Sigma 규칙 을 사용하십시오. 이제 Detection as Code 플랫폼에서 사용할 수 있습니다:

Version.dll 가장 시도 가능성 (image_load를 통해)

이 탐지는 SOC Prime의 플랫폼에서 지원하는 26개의 SIEM, EDR, XDR 언어 포맷에 적용될 수 있으며, MITRE ATT&CK® 프레임워크에 매핑되어 방어 회피 전술을 처리하며 가장하기 (T1036)를 대응하는 주요 기법으로 설정되어 있습니다.

SOC Prime의 콘텐츠 개발 팀은 또한 유용한 관련 일반 규칙을 발표했습니다:

마운트된 드라이브에서의 의심스러운 실행 (process_creation을 통해)

ISO 파일에서의 의심스러운 실행 (process_creation을 통해)

사이버 보안 실무자는 SOC Prime의 플랫폼에 가입하거나 로그인한 후 이 콘텐츠 항목에 액세스할 수 있습니다. 광범위한 탐지 콘텐츠 라이브러리에 액세스하려면 Detect & Hunt 버튼을 누르고, 관련 탐지 콘텐츠의 목록과 회원가입 없이 이용할 수 있는 방대한 맥락 정보를 즉시 접근하려면 Threat Context 탐색 버튼을 클릭하십시오.

Detect & Hunt Threat Context 탐색

Brute Ratel 설명

Brute Ratel은 방어 및 관측을 피하도록 설계된 C2 프레임워크입니다. 실제 공격의 시뮬레이션에서 레드팀 해커는 원격 호스트에 배저를 배포하는 데 사용합니다. 배저는 코발트 스트라이크 비콘과 유사하게 작동하며, 해커의 명령 및 제어 서버에 연결하여 원격 코드 실행을 가능하게 합니다. 현재 버전은 Microsoft Teams, Slack, Discord와 같은 정당한 도구를 사용하여 명령 및 제어 채널을 만들 수 있게합니다. 표준 윈도우 API 호출 대신 비공식적인 시스템 호출을 사용하여 탐지를 피하고 이미 실행 중인 프로세스에 쉘코드를 주입할 수 있습니다. BRc4는 EDR 후크를 인식하고 탐지를 방지하는 디버거와 도메인 전체의 LDAP 쿼리를 위한 시각적 인터페이스를 특징으로 합니다. 연구된 샘플은 Windows 바로가기(LNK) 파일, 악성 DLL, Microsoft OneDrive Updater의 정본을 포함하는 자체 포함 ISO로 포장되었습니다. 정당한 도구 실행 시, DLL 탐색 순서 하이재킹을 통해 악성 페이로드가 투하되었습니다.

파일로 알토 네트웍스의 연구자들은 감지된 여러 공격자의 IP가 우크라이나로 추적되었다고 보고했습니다. 희생자는 멕시코, 아르헨티나 및 북미에 위치해 있었습니다.

사이버 보안 산업과 관련된 사건을 최신 상태로 유지하여 사이버 저항력을 강화하려면 SOC Prime 블로그를따르십시오. 탐지 콘텐츠를 배포하면서 협력적인 사이버 방어를 촉진하는 신뢰할 수 있는 플랫폼을 찾고 계십니까? SOC Prime의 크라우드소싱 프로그램에 참여하여 Sigma 및 YARA 규칙을 커뮤니티와 공유하고, 사이버 보안에 긍정적인 변화를 주도하며, 기여에 대한 안정적인 수입을 받을 수 있습니다!