Grupos de invasores adotam nova ferramenta de teste de penetração Brute Ratel

Pesquisadores de segurança identificaram recentemente várias campanhas de ataque que usam técnicas de direcionamento do tipo APT e implantam o Brute Ratel C4 (BRc4), um framework de simulação de adversários relativamente novo. Embora hackers abusando das ferramentas de teste de penetração não seja um desenvolvimento novo – Cobalt Strike e Meterpreter da Metasploit são usados por grupos de ameaças há anos – o Brute Ratel está focado em técnicas de evasão de detecção, então pode representar um verdadeiro desafio para as equipes de defesa.

“O surgimento de um novo teste de penetração e capacidade de emulação de adversários é significativo”, disseram pesquisadores da empresa de segurança Palo Alto Networks em um novo relatório analisando várias amostras recentes. “Ainda mais alarmante é a eficácia do BRc4 em derrotar os recursos de detecção de AV e EDR defensivos modernos”.

Brute Ratel: um projeto de hobby de meio período que se tornou um produto comercial

Brute Ratel é desenvolvido por Chetan Nayak, também conhecido como Paranoid Ninja, um ex-engenheiro de detecção e red teamer que lista CrowdStrike e Mandiant como empregadores anteriores. O projeto foi lançado em dezembro de 2020 e cresceu lentamente em recursos e capacidades. Em janeiro, Nayak anunciou que decidiu se concentrar em tempo integral no desenvolvimento da ferramenta e cursos de treinamento associados e lançou a versão principal 1.0, em maio.

A ferramenta agora oferece a capacidade de escrever canais de comando e controle que usam serviços legítimos como Slack, Discord e Microsoft Teams. Ele pode injetar shellcode em processos existentes e usar syscalls não documentados em vez de chamadas normais de API do Windows que são monitoradas por software de segurança. O BRc4 também pode executar na memória vários tipos de código e scripts, bem como técnicas de reflexão de DLL. Ele possui uma interface gráfica para consultas LDAP entre domínios e inclui um depurador que detecta ganchos EDR e evita acionar sua detecção.

De acordo com as postagens do Twitter de Nayak, a BRc4 tem mais de 350 clientes que compraram mais de 480 licenças. Uma licença de um ano custa $ 2.500 e uma renovação $ 2.250. Embora isso possa parecer caro para um testador de penetração independente, o custo é bastante acessível tanto para empresas legítimas quanto para agentes de ameaças mal-intencionados.

Sinais de uso indevido de BRc4

Os pesquisadores da Palo Alto Networks encontraram recentemente uma amostra de malware de maio que implantou o BRc4 e usou técnicas de empacotamento e entrega semelhantes às observadas nas campanhas recentes do APT29. O APT29, também conhecido como Cozy Bear, é um grupo de ameaças que se acredita estar associado ou fazer parte de uma das agências de inteligência da Rússia. Foi responsável por ataques contra muitas agências governamentais ao longo dos anos, incluindo o ataque ao Comitê Nacional Democrata nos EUA, em 2016.

A amostra, que foi carregada no VirusTotal por um IP no Sri Lanka, foi chamada Roshan_CV.iso. Um arquivo .iso é uma imagem de disco óptico – essencialmente uma cópia do sistema de arquivos em um disco óptico. O Windows pode abrir esses arquivos automaticamente montando-os em uma letra de unidade e listará os arquivos dentro como em um diretório.

O único arquivo não oculto na amostra Roshan_CV foi chamado Roshan-Bandara_CV_Dialog.lnk, que tinha um ícone do Word para parecer um documento do Word. Na realidade, era um arquivo de atalho do Windows com parâmetros para executar cmd.exe e iniciar um arquivo oculto no mesmo diretório chamado OneDriveUpdater.exe. Este é um arquivo legítimo assinado pela Microsoft associado à ferramenta de sincronização de arquivos do Microsoft OneDrive.

A razão pela qual os invasores usaram um arquivo legítimo é porque esse executável procura e carrega outro arquivo chamado Version.dll se colocado no mesmo diretório. Os invasores forneceram seu próprio arquivo Version.dll modificado maliciosamente para ser executado pelo OneDriveUpdater.exe legítimo. Essa é uma técnica usada por invasores chamada sequestro de ordem de pesquisa de DLL e pode ser eficaz para evitar a detecção, porque o código malicioso é carregado por um processo legítimo e confiável.

Outro arquivo chamado vresion.dll (com erros ortográficos intencionalmente) foi incluído no mesmo diretório. Esta é uma cópia exata do arquivo version.dll legítimo e foi incluída para que a versão não autorizada possa fazer proxy de qualquer chamada de função legítima para manter o processo do OneDrive funcional. Por outro lado, a DLL desonesta também descriptografou e lançou uma carga útil armazenada dentro de outro arquivo oculto chamado OneDrive.Update. A carga descriptografada era, na verdade, o shellcode que descriptografava o código Brute Ratel C4 de uma maneira difícil de detectar usando milhares de instruções de montagem push e mov para copiar o código, evitando a detecção na memória.

Todas essas técnicas de implantação, até o uso de um arquivo .iso com um .lnk dentro que executava o sequestro de ordem de pesquisa de DLL, foram observadas em uma campanha recente do APT29 que distribuiu um arquivo chamado Decret.iso.

Uma análise de código revelou que o OneDrive.Update era uma cópia quase exata do badger_x64.exe, um componente na memória que faz parte da estrutura Brute Ratel C4. Uma análise do servidor de comando e controle usado pelo OneDrive.Update revelou conexões de três endereços IP no Sri Lanka, sugerindo várias vítimas na região. Uma análise de outra amostra badger_x64.exe enviada para o VirusTotal da Ucrânia revelou outro servidor C2 que recebeu conexões de uma organização argentina, um provedor de televisão IP que fornece conteúdo da América do Norte e do Sul e um grande fabricante têxtil no México.

O servidor C2 da segunda amostra usou um certificado autoassinado emitido com o nome Microsoft Security. Os pesquisadores de Palo Alto rastrearam o histórico do certificado e determinaram que ele havia sido usado em outros 41 endereços IP no ano passado.

“Esses endereços seguem uma dispersão geográfica global e são predominantemente de propriedade de grandes provedores de hospedagem de servidores virtuais privados (VPS)”, disseram os pesquisadores. “Expandindo nossa pesquisa além das duas amostras discutidas acima, também identificamos sete amostras adicionais de BRc4 que datam de fevereiro de 2021”.

O abuso de ferramentas de segurança legítimas é comum

Embora as organizações certamente devam estar cientes de que o BRc4 está se tornando rapidamente uma ferramenta encontrada no arsenal de grupos de hackers, isso não significa que seu criador tenha intenções maliciosas ou esteja envolvido nessas atividades. De fato, seguindo o relatório da Palo Alto Networks, Nayak disse no Twitter que revogou as licenças usadas indevidamente e está pronto para fornecer às autoridades qualquer informação relevante.

Muitas ferramentas que foram criadas por e para especialistas em segurança para serem usadas de maneira defensiva e em compromissos sancionados de red teaming tornaram-se as favoritas dos hackers ao longo dos anos e foram adotadas por grupos APT e gangues de cibercriminosos. Os implantes Cobalt Strike e Meterpreter, a ferramenta de despejo de credenciais Mimikatz; a ferramenta de execução remota de código PsExec, que faz parte do pacote Sysinternals da Microsoft; e a estrutura de pós-exploração PowerShell Empire de código aberto são apenas alguns dos exemplos mais comuns.

Dito isso, o uso de tais ferramentas, e agora o BRc4, em redes e sistemas deve, no mínimo, gerar alertas que devem ser investigados. O relatório da Palo Alto Networks contém indicadores de comprometimento para as amostras identificadas.