网络犯罪分子手中的 Brute Ratel 渗透测试工具

admin 2022年7月11日23:33:33评论808 views字数 1823阅读6分4秒阅读模式

网络犯罪分子手中的 Brute Ratel 渗透测试工具


专家警告说,攻击者正在从使用著名的 Cobalt Strike 转向红队不太流行的工具 - Brute Ratel 指挥和控制中心(Brute Ratel C4 或 BRc4)。因此,Palo Alto Unit 42 分析师发现BRc4 已经被俄语黑客组织 APT29(又名 CozyBear 和 Dukes)采用。


值得在这里回顾一下,Cobalt Strike 是为渗透测试者和红队构建的合法商业工具,专注于开发和后期开发。不幸的是,它长期以来一直受到从政府 APT 组织到勒索软件运营商等黑客的喜爱。尽管 Cobalt Strike 相当昂贵且普通用户无法访问,但攻击者仍然想方设法使用它(例如,依赖旧的、盗版和被黑的版本)。


2020 年,Mandiant 和 CrowdStrike 的前红队成员 Chetan Nayak 创建了 BRc4 作为 Cobalt Strike 的替代品。事实证明,这些仪器彼此相似,但并不相似。例如,Cobalt Strike 允许您在受感染的设备上部署“信标”,以远程监控网络或执行命令。反过来,Brute Ratel 允许您在远程主机上部署“badgers”(獾),这与 Cobalt Strike 中的信标非常相似。这种“獾”连接到攻击者的控制服务器,以便接收命令或将已经发出的命令的结果传输给操作员。


正如 Palo Alto Unit 42 的专家所指出的那样,攻击者最近开始从 Cobalt Strike 转向使用 Brute Ratel,更喜欢这种特殊的工具包进行后期利用。由于 BRc4 主要专注于规避 EDR 和防病毒解决方案的检测,因此几乎所有安全产品都不会检测到其中的恶意软件。由于这个特性,研究人员称 Brute Ratel 是“特别危险的”。


专家们发现,在据称与俄语黑客组织 APT29 相关的攻击中,已经使用了 BRc4,在此期间,攻击者分发了声称包含简历 (CV) 的恶意 ISO 映像。事实上,恢复文件 (Roshan-Bandara_CV_Dialog) 是启动相关 OneDriveUpdater.exe 文件的 Windows 快捷方式。


虽然 OneDriveUpdater.exe 是常规的 Microsoft 可执行文件,但包含的 version.dll 已被修改为充当 Brute Ratel badger 的引导加载程序,该程序加载到 RuntimeBroker.exe 进程中。之后,攻击者获得了对受感染设备的远程访问权限,以执行命令并进一步通过网络移动。

网络犯罪分子手中的 Brute Ratel 渗透测试工具


目前,Brute Ratel 的年度许可费用为每位用户 2,500 美元,客户需要提供工作电子邮件地址并通过验证才能获得许可。由于验证是手动完成的(虽然不知道具体如何),问题就出现了,攻击者如何获得许可证?事实上,专家报告强调,所提到的 ISO 映像是在新版本 BRC4 发布的同一天创建的。


Chitan Nayak 告诉Bleeping Computer 的记者,在所描述的攻击中使用的许可证是由他的一个客户的一名心怀不满的员工泄露到一边的。因为有效载荷允许 Nyack 看到他们属于谁,他声称已经能够识别和撤销许可证。


然而,根据 AdvIntel 负责人 Vitali Kremez 的说法,这并不是一个孤立的案例。例如,Conti 勒索软件的前运营商也获得了 Brute Ratel 许可证,为此创建了空壳美国公司。


“Conti 勒索软件操作背后的犯罪分子已经探索了除 Cobalt Strike 之外的几种渗透工具。在一个特定的案例中,他们获得了 Brute Ratel 的访问权限,该工具被用于 BumbleBee 下载器的针对性攻击中的后期利用。使用 Brute Ratel 的最终目标是一个用于横向移动和随后通过勒索软件有效载荷对网络进行加密的后操作框架,”Kremez 说。


Palo Alto Unit 42 的分析师在他们的报告中总结说,Brute Ratel 可能构成严重威胁,必须学会应对:


“我们认为,所有安全供应商都必须建立保护措施来检测 BRC4,并且所有组织都必须采取积极措施来防范这种工具。”


如何你只做你能做的,你永远不会比现在更多!


网络犯罪分子手中的 Brute Ratel 渗透测试工具


红队和对手模拟的定制指挥和控制中心


网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具


Brute Ratel 渗透测试工具功能介绍


网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

网络犯罪分子手中的 Brute Ratel 渗透测试工具

UNIT 42 Brute Ratel 报告内容:

https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/

Brute Ratel 渗透测试工具官网:

https://bruteratel.com/


原文始发于微信公众号(网络研究院):网络犯罪分子手中的 Brute Ratel 渗透测试工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月11日23:33:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络犯罪分子手中的 Brute Ratel 渗透测试工具http://cn-sec.com/archives/1168329.html

发表评论

匿名网友 填写信息