En realidad, se supone que los Red Teams deben usar las herramientas Pentest para probar superficies de ataque, descubrir brechas de seguridad y luego cerrarlas. Pero estas poderosas herramientas de prueba también pueden ser utilizadas de manera indebida por los ciberdelincuentes. Desafortunadamente, a menudo la seguridad los pasa por alto rápidamente.
Unit 42, el equipo de análisis de malware de Palo Alto Networks, busca constantemente nuevas muestras de malware que coincidan con los patrones y tácticas conocidas de amenazas persistentes avanzadas (APT). Una de esas muestras se subió recientemente a VirusTotal, donde recibió un veredicto positivo de los 56 proveedores que la examinaron. En otras palabras: ¡Ninguno de los proveedores de seguridad reconoció el peligro potencial del código peligroso que estaba oculto en una herramienta!
56 escáneres en VirusTotal no detectan ninguna amenaza
La muestra contenía código malicioso relacionado con Brute Ratel C4 (BRc4), la última herramienta de simulación de ataques de adversarios y equipos de Red que llegó al mercado. Aunque el código malicioso de esta herramienta ha logrado permanecer fuera del foco de atención y es menos conocido que sus hermanos Cobalt Strike, el código malicioso no es menos sofisticado. La herramienta es especialmente peligrosa porque está diseñada específicamente para evitar la detección por parte de las funciones de detección y respuesta de punto final (EDR) y antivirus (AV). Su eficacia se muestra claramente en la falta de detección mencionada anteriormente en VirusTotal en todos los proveedores,
Herramienta muy inteligente y peligrosa.
Con respecto a C2, la Unidad 42 descubrió que la muestra llamó a una dirección IP de Amazon Web Services (AWS) en los Estados Unidos a través del puerto 443. Además, el certificado X.509 en el puerto de escucha se configuró para suplantar a Microsoft con un nombre de organización de "Microsoft" y una unidad organizativa de "Seguridad". Además, utilizando el certificado y otros artefactos, Palo Alto Networks identificó un total de 41 direcciones IP maliciosas, nueve muestras de BRc4 y otras tres organizaciones en América del Norte y del Sur que hasta ahora se han visto afectadas por el código malicioso de esta herramienta.
Este patrón, único hasta la fecha, se empaquetó de acuerdo con las conocidas técnicas APT29 y sus campañas recientes, que aprovecharon las conocidas aplicaciones de almacenamiento en la nube y colaboración en línea. Específicamente, este patrón se empaquetó como un ISO independiente. La ISO contenía un archivo de acceso directo de Windows (LNK), una DLL de carga útil maliciosa y una copia legítima de Microsoft OneDrive Updater. Los intentos de ejecutar la aplicación benigna desde la carpeta montada en ISO resultaron en la carga del código malicioso como una dependencia a través de una técnica conocida como secuestro de orden de búsqueda de DLL. Aunque las técnicas de empaquetado por sí solas no son suficientes para atribuir definitivamente este ejemplo a APT29, estas técnicas muestran que los usuarios de la herramienta ahora están implementando BRc4.
Los equipos de seguridad deben prestar atención a las herramientas.
En general, Unit 42 cree que este estudio es importante porque no solo identifica una nueva habilidad del Equipo Rojo que la mayoría de los proveedores de seguridad cibernética no reconocen en gran medida, sino, lo que es más importante, una habilidad con una base de usuarios en crecimiento, que Palo Alto Networks cree que podría ser explotada por piratas informáticos patrocinados por el gobierno. El análisis actual proporciona una descripción general de BRc4, un análisis detallado de la muestra maliciosa, una comparación entre estas muestras y una muestra APT29 reciente, y una lista de indicadores de compromiso (IoC) que se pueden usar para buscar esta actividad maliciosa.
Palo Alto Networks hace un llamado a todos los proveedores de seguridad para que implementen medidas de seguridad para detectar la actividad de esta herramienta de prueba de penetración y todas las organizaciones para que estén alertas a la actividad de esta herramienta.
Conclusión del estudio
- La aparición de una nueva característica de prueba de penetración y emulación de atacantes es significativa. Aún más alarmante es la eficacia de BRc4 para superar las modernas capacidades defensivas de detección de EDR y AV.
- En los últimos dos años y medio, esta herramienta ha pasado de ser un pasatiempo de medio tiempo a un proyecto de desarrollo de tiempo completo con una base de clientes en crecimiento. A medida que esta base de clientes ha crecido a cientos, la herramienta ha recibido una mayor atención en el espacio de la seguridad cibernética tanto por parte de los probadores de penetración legítimos como de los ciberactores criminales.
- El análisis de los dos ejemplos descritos por Unit 42, así como el enfoque avanzado utilizado para empaquetar el código malicioso, deja en claro que los ciberdelincuentes han comenzado a explotar esta capacidad. La Unidad 42 de Palo Alto Networks cree que es imperativo que todos los proveedores de seguridad creen protecciones para detectar BRc4 y que todas las organizaciones tomen medidas proactivas para defenderse de esta herramienta.
- Palo Alto Networks ha compartido estos hallazgos, incluidas muestras de archivos e indicadores de compromiso (IoC), con nuestros otros miembros de Cyber Threat Alliance. Los miembros de CTA utilizan esta información para implementar rápidamente protecciones para sus clientes e interrumpir sistemáticamente a los atacantes cibernéticos criminales.
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.