Les outils Pentest sont en fait censés être utilisés par les équipes rouges pour tester les surfaces d'attaque, découvrir les failles de sécurité, puis les combler. Mais ces puissants outils de test peuvent également être utilisés à mauvais escient par les cybercriminels. Malheureusement, ils sont souvent rapidement oubliés par la sécurité.
L'unité 42, l'équipe d'analyse des logiciels malveillants de Palo Alto Networks, est constamment à la recherche de nouveaux échantillons de logiciels malveillants qui correspondent aux schémas et tactiques connus de menaces persistantes avancées (APT). Un de ces échantillons a récemment été téléchargé sur VirusTotal, où il a reçu un verdict positif de la part des 56 fournisseurs qui l'ont examiné. En d'autres termes : aucun des fournisseurs de sécurité n'a reconnu le danger potentiel du code dangereux caché dans un outil !
56 scanners sur VirusTotal ne détectent aucune menace
L'échantillon contenait du code malveillant lié à Brute Ratel C4 (BRc4), le dernier outil de simulation d'attaques d'équipes rouges et d'adversaires à arriver sur le marché. Bien que le code malveillant de cet outil ait réussi à rester à l'écart des projecteurs et soit moins connu que ses frères Cobalt Strike, le code malveillant n'en est pas moins sophistiqué. L'outil est particulièrement dangereux car il est spécifiquement conçu pour éviter la détection par les fonctionnalités Endpoint Detection and Response (EDR) et Antivirus (AV). Son efficacité est clairement démontrée dans le manque de détection mentionné ci-dessus sur VirusTotal chez tous les fournisseurs,
Outil très intelligent et dangereux
Concernant C2, l'unité 42 a découvert que l'échantillon appelait une adresse IP Amazon Web Services (AWS) aux États-Unis sur le port 443. En outre, le certificat X.509 sur le port d'écoute a été configuré pour usurper l'identité de Microsoft avec un nom d'organisation de « Microsoft » et une unité d'organisation de « Sécurité ». De plus, à l'aide du certificat et d'autres artefacts, Palo Alto Networks a identifié un total de 41 adresses IP malveillantes, neuf échantillons BRc4 et trois autres organisations en Amérique du Nord et du Sud qui ont jusqu'à présent été affectées par le code malveillant de cet outil.
Ce modèle - unique à ce jour - a été conditionné conformément aux techniques APT29 bien connues et à leurs récentes campagnes, qui ont tiré parti des applications de stockage en nuage et de collaboration en ligne bien connues. Plus précisément, ce modèle a été emballé en tant qu'ISO autonome. L'ISO contenait un fichier de raccourci Windows (LNK), une DLL de charge utile malveillante et une copie légitime de Microsoft OneDrive Updater. Les tentatives d'exécution de l'application bénigne à partir du dossier monté sur ISO ont entraîné le chargement du code malveillant en tant que dépendance via une technique connue sous le nom de détournement d'ordre de recherche DLL. Bien que les techniques de packaging ne suffisent pas à elles seules à attribuer définitivement cet exemple à APT29, ces techniques montrent que les utilisateurs de l'outil déploient désormais BRc4.
Les équipes de sécurité doivent prêter attention aux outils
Dans l'ensemble, l'unité 42 estime que cette étude est importante en ce sens qu'elle identifie non seulement une nouvelle compétence de l'équipe rouge qui est largement méconnue par la plupart des fournisseurs de cybersécurité, mais plus important encore, une compétence avec une base d'utilisateurs croissante, qui, selon Palo Alto Networks, pourrait être exploitée par pirates parrainés par le gouvernement. L'analyse actuelle fournit un aperçu de BRc4, une analyse détaillée de l'échantillon malveillant, une comparaison entre ces échantillons et un échantillon APT29 récent, et une liste d'indicateurs de compromission (IoC) qui peuvent être utilisés pour rechercher cette activité malveillante.
Palo Alto Networks appelle tous les fournisseurs de sécurité à mettre en place des mesures de protection pour détecter l'activité de cet outil de pentest et toutes les organisations à être attentives à l'activité de cet outil.
Conclusion de l'étude
- L'émergence d'une nouvelle fonctionnalité de test d'intrusion et d'émulation d'attaquants est significative. Encore plus alarmante est l'efficacité du BRc4 à surmonter les capacités défensives modernes de détection EDR et AV.
- Au cours des 2,5 dernières années, cet outil est passé d'un passe-temps à temps partiel à un projet de développement à temps plein avec une clientèle croissante. Au fur et à mesure que cette clientèle est passée à des centaines, l'outil a reçu une attention accrue dans l'espace de la cybersécurité de la part des testeurs d'intrusion légitimes et des cyber-acteurs criminels.
- L'analyse des deux exemples décrits par l'unité 42, ainsi que l'approche avancée utilisée pour empaqueter le code malveillant, montrent clairement que les cyber-acteurs criminels ont commencé à exploiter cette capacité. L'unité 42 de Palo Alto Networks estime qu'il est impératif que tous les fournisseurs de sécurité mettent en place des protections pour détecter BRc4 et que toutes les organisations prennent des mesures proactives pour se défendre contre cet outil.
- Palo Alto Networks a partagé ces résultats, y compris des échantillons de fichiers et des indicateurs de compromission (IoC), avec nos autres membres de la Cyber Threat Alliance. Les membres du CTA utilisent ces informations pour déployer rapidement des protections auprès de leurs clients et perturber systématiquement les cyber-attaquants criminels.
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.