合法的红队模拟渗透工具BR被滥用,规避反病毒引擎实现逃逸

在最近的网络安全研究中观察到,黑客在攻击中开始滥用合法的网络安全攻防模拟软件,以此来规避病毒引擎的扫描实现逃逸。

合法的红队模拟渗透工具BR被滥用,规避反病毒引擎实现逃逸

Palo Alto安全研究人员表示,2022 年 5 月 19 日上传到 VirusTotal 数据库的恶意软件样本包含与 Brute Ratel C4 软件相关的有效载荷,这是一个相对较新的复杂工具包,旨在避免终端EDR的扫描和防病毒 (AV)的能力。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,Brute Ratel 软件 (简称BRc4)是由印度安全研究员Chetan Nayak编写的,类似于 Cobalt Strike的,用于网络安全攻防研究的对手模拟软件。

Brute Ratel软件是商业软件,于2020年底首次发布,此后获得了 350 多个客户销售了 480 多个软件license。每个license的价格为每位用户首年 2500 美元,之后可以以 2250 美元的价格按年续期。

Brute Ratel软件配备了多种功能,例如进程注入、自动攻击TTP、捕获屏幕截图、上传和下载文件、支持多个命令和控制通道,以及保持内存工件对反病毒引擎隐藏的能力等等。

就像 Cobalt Strike 软件一样,Brute Ratel 还可以在受感染的主机上部署 Badgers ,这些主机可以驻留在攻击者控制器服务器上,以接收下一阶段的命令或接收泄露的数据。

此次安全研究中发现的样本是从斯里兰卡上传的,伪装成名为 Roshan Bandara 的个人简历,但实际上是一个ISO映像文件,双击后将其安装为 Windows 驱动器,其中包含看似无害的 Word 文档,该word文档在启动时会在用户计算机上安装 BRc4 并与远程服务器建立通信。

合法的红队模拟渗透工具BR被滥用,规避反病毒引擎实现逃逸

网络安全研究人员指出,他们还发现了一天后从乌克兰上传到 VirusTotal 的第二个样本,该样本的代码与负责在内存中加载 BRc4 的模块的代码重叠。此后,调查又发现了 7 个可追溯到 2021 年 2 月的 BRc4 样本。

通过检查用作隐蔽通道的C2命令和控制服务器,已经确定了许多潜在的受害者。其中包括一家北美和南美的 IP 电视提供商,以及一家墨西哥的主要纺织品制造商等。

来源:极牛网

声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年6月7日
下一篇 2022年6月7日

相关推荐