Detecção de Ataques com Brute Ratel: Kit de Ferramentas de Pós-Exploração Utilizado por Adversários
Índice:
Adversários adotaram mais uma ferramenta legítima de simulação de red-teaming para evitar detecção. Em substituição aos Cobalt Strike e Metasploit’s Meterpreter vem o Brute Ratel (também conhecido como BRc4) – um software de simulação de equipe vermelha e adversários lançado no final de 2020, que não auxilia na criação de exploits, projetado para operar sem ser detectado por soluções de segurança.
Uma licença de um ano para um único usuário atualmente custa $2,500, vendida apenas para empresas verificadas. O engenheiro de segurança chamado Chetan Nayak, que lançou o produto, afirmou que atores de ameaça de alguma forma adquiriram uma licença de software vazada para executar campanhas de ataque.
Detectar Ataques Alimentados pelo Brute Ratel
Para se proteger contra ataques habilitados pelo Brute Ratel e identificar em tempo hábil a atividade suspeita em sua rede, onde a maioria dos softwares de segurança falhou em detectá-la como maliciosa, utilize uma regra Sigma dedicada agora disponível na plataforma Detection as Code:
Tentativa de Mascaramento de Version.dll Possível (via image_load)
Esta detecção é aplicável a 26 formatos de linguagem SIEM, EDR e XDR suportados pela plataforma da SOC Prime e está mapeada para o framework MITRE ATT&CK®, abordando a tática de Evasão de Defesa com o Mascaramento (T1036) como a técnica principal correspondente.
A equipe de desenvolvedores de conteúdo da SOC Prime lançou outras regras genéricas relevantes que também serão úteis:
Execução Suspeita de Drive Montado (via process_creation)
Execução Suspeita de Arquivo ISO (via process_creation)
Praticantes de cibersegurança podem acessar este item de conteúdo após se inscreverem ou fazerem login na plataforma da SOC Prime. Pressione o botão Detect & Hunt para acessar uma vasta biblioteca de conteúdo de detecção. Clique no botão Explore Threat Context para obter acesso instantâneo à lista de conteúdo de detecção relevante e informações contextuais detalhadas disponíveis ao seu alcance sem registro.
Detect & Hunt Explore Threat Context
Descrição do Brute Ratel
Brute Ratel é um framework de C2 projetado para evadir defesas e observação. Em simulações de ataques reais, ele é usado por hackers de equipe vermelha para implantar badgers em hosts remotos. Badgers funcionam de maneira semelhante aos beacons do Cobalt Strike e conectam-se ao servidor de comando e controle dos hackers, permitindo a execução remota de código. A versão atual permite que os usuários criem canais de comando e controle usando ferramentas legítimas como Microsoft Teams, Slack e Discord. Ele pode utilizar syscalls não documentadas em vez de chamadas padrão da API do Windows para evitar detecção e injetar shellcode em processos já em execução. O BRc4 possui um depurador que reconhece ganchos EDR e evita o acionamento de sua detecção, assim como uma interface visual para consultas LDAP através de domínios. A amostra estudada foi empacotada como um ISO autônomo que incluía um arquivo de atalho do Windows (LNK), um DLL malicioso e uma cópia legítima do Microsoft OneDrive Updater. Após a execução da ferramenta legítima, uma carga maliciosa foi lançada por meio de sequestro de ordem de pesquisa de DLL.
Pesquisadores da Palo Alto Networksrelatam que vários dos IPs dos atacantes detectados foram rastreados até a Ucrânia. As vítimas estavam localizadas no México, Argentina e América do Norte.
Para fortalecer sua resiliência cibernética, mantendo-se atualizado com os eventos relacionados à indústria de cibersegurança, siga o blog da SOC Prime. Procurando uma plataforma confiável para distribuir seu conteúdo de detecção enquanto promove a defesa cibernética colaborativa? Junte-se ao programa de crowdsourcing da SOC Prime para compartilhar suas regras Sigma e YARA com a comunidade, promover uma mudança positiva em cibersegurança e ganhar uma renda estável por sua contribuição!
