Eigentlich sollen Pentest-Tools von Red Teams genutzt werden um Angriffsflächen zu testen, Sicherheitslücken aufzudecken und diese dann zu schließen. Aber diese mächtigen Test-Tools können auch von Cyberkriminellen missbraucht werden. Leider werden sie auch oft von der Security schnell übersehen.
Unit 42, das Malware-Analyseteam von Palo Alto Networks, ist ständig auf der Suche nach neuen Malware-Samples, die bekannten Mustern und Taktiken für Advanced Persistent Threat (APT) entsprechen. Vor Kurzem wurde ein solches Muster zu VirusTotal hochgeladen, wo es von allen 56 Anbietern, die es untersuchten, ein positives Urteil erhielt. Sprich: Keiner der Sicherheitsanbieter erkannte das Gefahrenpotential des gefährlichen Codes, der in einem Tool versteckt war!
56 Scanner auf VirusTotal erkennen keine Gefahr
Die Probe enthielt schädlichen Code im Zusammenhang mit Brute Ratel C4 (BRc4), dem neuesten Red-Teaming- und gegnerischen Angriffssimulationstool, das auf den Markt kam. Obwohl es dem schädlichen Code in diesem Tool gelungen ist, aus dem Rampenlicht zu bleiben und obwohl er weniger bekannt ist als seine Cobalt Strike-Brüder, ist der schädliche Code nicht weniger raffiniert. Das Tool ist insofern einzigartig gefährlich, als es speziell entwickelt wurde, um die Erkennung durch Endpoint Detection and Response (EDR) und Antivirus (AV)-Funktionen zu vermeiden. Seine Effektivität zeigt sich deutlich in der oben erwähnten fehlenden Erkennung bei VirusTotal bei allen Anbietern,
Sehr schlaues und gefährliches Tool
In Bezug auf C2 stellte Unit 42 fest, dass die Stichprobe eine IP-Adresse von Amazon Web Services (AWS) in den Vereinigten Staaten über Port 443 anrief. Außerdem war das X.509-Zertifikat auf dem Überwachungsport so konfiguriert, dass es sich als Microsoft mit einer Organisation ausgab Name von „Microsoft“ und Organisationseinheit von „Sicherheit“. Darüber hinaus identifizierte Palo Alto Networks anhand des Zertifikats und anderer Artefakte insgesamt 41 gefährlichen IP-Adressen, neun BRc4-Beispiele und weitere drei Organisationen in Nord- und Südamerika, die bisher vom schädlichen Code in diesem Tool betroffen waren.
Dieses – bisher einzigartige – Muster wurde in Übereinstimmung mit bekannten APT29-Techniken und ihren jüngsten Kampagnen verpackt, die bekannte Cloud-Speicher- und Online-Collaboration-Anwendungen nutzten. Insbesondere wurde dieses Muster als eigenständiges ISO verpackt. Die ISO enthielt eine Windows-Verknüpfungsdatei (LNK), eine schädliche Payload-DLL und eine legitime Kopie von Microsoft OneDrive Updater. Versuche, die gutartige Anwendung aus dem ISO-gemounteten Ordner auszuführen, führten zum Laden des schädliche Codes als Abhängigkeit durch eine Technik, die als Hijacking der DLL-Suchreihenfolge bekannt ist. Obwohl Paketierungstechniken allein nicht ausreichen, um dieses Beispiel definitiv APT29 zuzuordnen, zeigen diese Techniken, dass Benutzer des Tools jetzt BRc4 bereitstellen.
Security-Teams sollten auf die Tools achten
Insgesamt geht Unit 42 davon aus, dass diese Studie insofern bedeutsam ist, als sie nicht nur eine neue Red-Team-Fähigkeit identifiziert, die von den meisten Cybersicherheitsanbietern weitgehend nicht erkannt wird, sondern, was noch wichtiger ist, eine Fähigkeit mit einer wachsenden Benutzerbasis, die nach Einschätzung von Palo Alto Networks von staatlich unterstützen Hackern missbraucht werden könnet. Die aktuelle Analyse bietet einen Überblick über BRc4, eine detaillierte Analyse des schädlicher Samples, einen Vergleich zwischen diesen Samples und einem aktuellen APT29-Sample sowie eine Liste von Indicators of Compromise (IoCs), die verwendet werden können, um nach dieser gefährlichen Aktivität zu suchen.
Palo Alto Networks ruft alle Sicherheitsanbieter auf, Schutzmechanismen zu schaffen, um Aktivitäten von diesem Pentest-Tool zu erkennen, und alle Organisationen, bei Aktivitäten von diesem Werkzeug auf der Hut zu sein.
Fazit der Studie
- Das Aufkommen einer neuen Penetrationstest- und Angreifer-Emulationsfunktion ist signifikant. Noch alarmierender ist die Wirksamkeit von BRc4 bei der Überwindung moderner defensiver EDR- und AV-Erkennungsfähigkeiten.
- In den letzten 2,5 Jahren hat sich dieses Tool von einem Teilzeit-Hobby zu einem Vollzeit-Entwicklungsprojekt mit einem wachsenden Kundenstamm entwickelt. Da dieser Kundenstamm auf Hunderte angewachsen ist, hat das Tool im gesamten Cybersicherheitsbereich sowohl von legitimen Penetrationstestern als auch von kriminellen Cyberakteuren zunehmende Aufmerksamkeit erlangt.
- Die Analyse der beiden von Unit 42 beschriebenen Beispiele sowie das fortschrittliche Vorgehen, das zum Verpacken des Schadcodes verwendet wird, machen deutlich, dass kriminelle Cyber-Akteure begonnen haben, diese Fähigkeit auszunutzen. Unit 42 von Palo Alto Networks ist der Meinung, dass es unerlässlich ist, dass alle Sicherheitsanbieter Schutzmaßnahmen zur Erkennung von BRc4 erstellen und dass alle Organisationen proaktive Maßnahmen ergreifen, um sich gegen dieses Tool zu verteidigen.
- Palo Alto Networks hat diese Ergebnisse, einschließlich Dateiproben und Kompromittierungsindikatoren (IoC), mit unseren anderen Mitgliedern der Cyber Threat Alliance geteilt. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und kriminelle Cyberangreifer systematisch zu stören.
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.