Pentest-Tools: starke Werkzeuge für echte Angreifer

Pentest-Tools: starke Werkzeuge für echte Angreifer
Anzeige

Beitrag teilen

Eigentlich sollen Pentest-Tools von Red Teams genutzt werden um Angriffsflächen zu testen, Sicherheitslücken aufzudecken und diese dann zu schließen. Aber diese mächtigen Test-Tools können auch von Cyberkriminellen missbraucht werden. Leider werden sie auch oft von der Security schnell übersehen.

Unit 42, das Malware-Analyseteam von Palo Alto Networks, ist ständig auf der Suche nach neuen Malware-Samples, die bekannten Mustern und Taktiken für Advanced Persistent Threat (APT) entsprechen. Vor Kurzem wurde ein solches Muster zu VirusTotal hochgeladen, wo es von allen 56 Anbietern, die es untersuchten, ein positives Urteil erhielt. Sprich: Keiner der Sicherheitsanbieter erkannte das Gefahrenpotential des gefährlichen Codes, der in einem Tool versteckt war!

Anzeige

56 Scanner auf VirusTotal erkennen keine Gefahr

Die Probe enthielt schädlichen Code im Zusammenhang mit Brute Ratel C4 (BRc4), dem neuesten Red-Teaming- und gegnerischen Angriffssimulationstool, das auf den Markt kam. Obwohl es dem schädlichen Code in diesem Tool gelungen ist, aus dem Rampenlicht zu bleiben und obwohl er weniger bekannt ist als seine Cobalt Strike-Brüder, ist der schädliche Code nicht weniger raffiniert. Das Tool ist insofern einzigartig gefährlich, als es speziell entwickelt wurde, um die Erkennung durch Endpoint Detection and Response (EDR) und Antivirus (AV)-Funktionen zu vermeiden. Seine Effektivität zeigt sich deutlich in der oben erwähnten fehlenden Erkennung bei VirusTotal bei allen Anbietern,

Sehr schlaues und gefährliches Tool

In Bezug auf C2 stellte Unit 42 fest, dass die Stichprobe eine IP-Adresse von Amazon Web Services (AWS) in den Vereinigten Staaten über Port 443 anrief. Außerdem war das X.509-Zertifikat auf dem Überwachungsport so konfiguriert, dass es sich als Microsoft mit einer Organisation ausgab Name von „Microsoft“ und Organisationseinheit von „Sicherheit“. Darüber hinaus identifizierte Palo Alto Networks anhand des Zertifikats und anderer Artefakte insgesamt 41 gefährlichen IP-Adressen, neun BRc4-Beispiele und weitere drei Organisationen in Nord- und Südamerika, die bisher vom schädlichen Code in diesem Tool betroffen waren.

Anzeige

Dieses – bisher einzigartige – Muster wurde in Übereinstimmung mit bekannten APT29-Techniken und ihren jüngsten Kampagnen verpackt, die bekannte Cloud-Speicher- und Online-Collaboration-Anwendungen nutzten. Insbesondere wurde dieses Muster als eigenständiges ISO verpackt. Die ISO enthielt eine Windows-Verknüpfungsdatei (LNK), eine schädliche Payload-DLL und eine legitime Kopie von Microsoft OneDrive Updater. Versuche, die gutartige Anwendung aus dem ISO-gemounteten Ordner auszuführen, führten zum Laden des schädliche Codes als Abhängigkeit durch eine Technik, die als Hijacking der DLL-Suchreihenfolge bekannt ist. Obwohl Paketierungstechniken allein nicht ausreichen, um dieses Beispiel definitiv APT29 zuzuordnen, zeigen diese Techniken, dass Benutzer des Tools jetzt BRc4 bereitstellen.

Security-Teams sollten auf die Tools achten

Insgesamt geht Unit 42 davon aus, dass diese Studie insofern bedeutsam ist, als sie nicht nur eine neue Red-Team-Fähigkeit identifiziert, die von den meisten Cybersicherheitsanbietern weitgehend nicht erkannt wird, sondern, was noch wichtiger ist, eine Fähigkeit mit einer wachsenden Benutzerbasis, die nach Einschätzung von Palo Alto Networks von staatlich unterstützen Hackern missbraucht werden könnet. Die aktuelle Analyse bietet einen Überblick über BRc4, eine detaillierte Analyse des schädlicher Samples, einen Vergleich zwischen diesen Samples und einem aktuellen APT29-Sample sowie eine Liste von Indicators of Compromise (IoCs), die verwendet werden können, um nach dieser gefährlichen Aktivität zu suchen.

Palo Alto Networks ruft alle Sicherheitsanbieter auf, Schutzmechanismen zu schaffen, um Aktivitäten von diesem Pentest-Tool zu erkennen, und alle Organisationen, bei Aktivitäten von diesem Werkzeug auf der Hut zu sein.

Fazit der Studie

  • Das Aufkommen einer neuen Penetrationstest- und Angreifer-Emulationsfunktion ist signifikant. Noch alarmierender ist die Wirksamkeit von BRc4 bei der Überwindung moderner defensiver EDR- und AV-Erkennungsfähigkeiten.
  • In den letzten 2,5 Jahren hat sich dieses Tool von einem Teilzeit-Hobby zu einem Vollzeit-Entwicklungsprojekt mit einem wachsenden Kundenstamm entwickelt. Da dieser Kundenstamm auf Hunderte angewachsen ist, hat das Tool im gesamten Cybersicherheitsbereich sowohl von legitimen Penetrationstestern als auch von kriminellen Cyberakteuren zunehmende Aufmerksamkeit erlangt.
  • Die Analyse der beiden von Unit 42 beschriebenen Beispiele sowie das fortschrittliche Vorgehen, das zum Verpacken des Schadcodes verwendet wird, machen deutlich, dass kriminelle Cyber-Akteure begonnen haben, diese Fähigkeit auszunutzen. Unit 42 von Palo Alto Networks ist der Meinung, dass es unerlässlich ist, dass alle Sicherheitsanbieter Schutzmaßnahmen zur Erkennung von BRc4 erstellen und dass alle Organisationen proaktive Maßnahmen ergreifen, um sich gegen dieses Tool zu verteidigen.
  • Palo Alto Networks hat diese Ergebnisse, einschließlich Dateiproben und Kompromittierungsindikatoren (IoC), mit unseren anderen Mitgliedern der Cyber ​​Threat Alliance geteilt. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und kriminelle Cyberangreifer systematisch zu stören.
Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen