Pentest-Tools: starke Werkzeuge für echte Angreifer

Pentest-Tools: starke Werkzeuge für echte Angreifer
Anzeige

Beitrag teilen

Eigentlich sollen Pentest-Tools von Red Teams genutzt werden um Angriffsflächen zu testen, Sicherheitslücken aufzudecken und diese dann zu schließen. Aber diese mächtigen Test-Tools können auch von Cyberkriminellen missbraucht werden. Leider werden sie auch oft von der Security schnell übersehen.

Unit 42, das Malware-Analyseteam von Palo Alto Networks, ist ständig auf der Suche nach neuen Malware-Samples, die bekannten Mustern und Taktiken für Advanced Persistent Threat (APT) entsprechen. Vor Kurzem wurde ein solches Muster zu VirusTotal hochgeladen, wo es von allen 56 Anbietern, die es untersuchten, ein positives Urteil erhielt. Sprich: Keiner der Sicherheitsanbieter erkannte das Gefahrenpotential des gefährlichen Codes, der in einem Tool versteckt war!

Anzeige

56 Scanner auf VirusTotal erkennen keine Gefahr

Die Probe enthielt schädlichen Code im Zusammenhang mit Brute Ratel C4 (BRc4), dem neuesten Red-Teaming- und gegnerischen Angriffssimulationstool, das auf den Markt kam. Obwohl es dem schädlichen Code in diesem Tool gelungen ist, aus dem Rampenlicht zu bleiben und obwohl er weniger bekannt ist als seine Cobalt Strike-Brüder, ist der schädliche Code nicht weniger raffiniert. Das Tool ist insofern einzigartig gefährlich, als es speziell entwickelt wurde, um die Erkennung durch Endpoint Detection and Response (EDR) und Antivirus (AV)-Funktionen zu vermeiden. Seine Effektivität zeigt sich deutlich in der oben erwähnten fehlenden Erkennung bei VirusTotal bei allen Anbietern,

Sehr schlaues und gefährliches Tool

In Bezug auf C2 stellte Unit 42 fest, dass die Stichprobe eine IP-Adresse von Amazon Web Services (AWS) in den Vereinigten Staaten über Port 443 anrief. Außerdem war das X.509-Zertifikat auf dem Überwachungsport so konfiguriert, dass es sich als Microsoft mit einer Organisation ausgab Name von „Microsoft“ und Organisationseinheit von „Sicherheit“. Darüber hinaus identifizierte Palo Alto Networks anhand des Zertifikats und anderer Artefakte insgesamt 41 gefährlichen IP-Adressen, neun BRc4-Beispiele und weitere drei Organisationen in Nord- und Südamerika, die bisher vom schädlichen Code in diesem Tool betroffen waren.

Anzeige

Dieses – bisher einzigartige – Muster wurde in Übereinstimmung mit bekannten APT29-Techniken und ihren jüngsten Kampagnen verpackt, die bekannte Cloud-Speicher- und Online-Collaboration-Anwendungen nutzten. Insbesondere wurde dieses Muster als eigenständiges ISO verpackt. Die ISO enthielt eine Windows-Verknüpfungsdatei (LNK), eine schädliche Payload-DLL und eine legitime Kopie von Microsoft OneDrive Updater. Versuche, die gutartige Anwendung aus dem ISO-gemounteten Ordner auszuführen, führten zum Laden des schädliche Codes als Abhängigkeit durch eine Technik, die als Hijacking der DLL-Suchreihenfolge bekannt ist. Obwohl Paketierungstechniken allein nicht ausreichen, um dieses Beispiel definitiv APT29 zuzuordnen, zeigen diese Techniken, dass Benutzer des Tools jetzt BRc4 bereitstellen.

Security-Teams sollten auf die Tools achten

Insgesamt geht Unit 42 davon aus, dass diese Studie insofern bedeutsam ist, als sie nicht nur eine neue Red-Team-Fähigkeit identifiziert, die von den meisten Cybersicherheitsanbietern weitgehend nicht erkannt wird, sondern, was noch wichtiger ist, eine Fähigkeit mit einer wachsenden Benutzerbasis, die nach Einschätzung von Palo Alto Networks von staatlich unterstützen Hackern missbraucht werden könnet. Die aktuelle Analyse bietet einen Überblick über BRc4, eine detaillierte Analyse des schädlicher Samples, einen Vergleich zwischen diesen Samples und einem aktuellen APT29-Sample sowie eine Liste von Indicators of Compromise (IoCs), die verwendet werden können, um nach dieser gefährlichen Aktivität zu suchen.

Palo Alto Networks ruft alle Sicherheitsanbieter auf, Schutzmechanismen zu schaffen, um Aktivitäten von diesem Pentest-Tool zu erkennen, und alle Organisationen, bei Aktivitäten von diesem Werkzeug auf der Hut zu sein.

Fazit der Studie

  • Das Aufkommen einer neuen Penetrationstest- und Angreifer-Emulationsfunktion ist signifikant. Noch alarmierender ist die Wirksamkeit von BRc4 bei der Überwindung moderner defensiver EDR- und AV-Erkennungsfähigkeiten.
  • In den letzten 2,5 Jahren hat sich dieses Tool von einem Teilzeit-Hobby zu einem Vollzeit-Entwicklungsprojekt mit einem wachsenden Kundenstamm entwickelt. Da dieser Kundenstamm auf Hunderte angewachsen ist, hat das Tool im gesamten Cybersicherheitsbereich sowohl von legitimen Penetrationstestern als auch von kriminellen Cyberakteuren zunehmende Aufmerksamkeit erlangt.
  • Die Analyse der beiden von Unit 42 beschriebenen Beispiele sowie das fortschrittliche Vorgehen, das zum Verpacken des Schadcodes verwendet wird, machen deutlich, dass kriminelle Cyber-Akteure begonnen haben, diese Fähigkeit auszunutzen. Unit 42 von Palo Alto Networks ist der Meinung, dass es unerlässlich ist, dass alle Sicherheitsanbieter Schutzmaßnahmen zur Erkennung von BRc4 erstellen und dass alle Organisationen proaktive Maßnahmen ergreifen, um sich gegen dieses Tool zu verteidigen.
  • Palo Alto Networks hat diese Ergebnisse, einschließlich Dateiproben und Kompromittierungsindikatoren (IoC), mit unseren anderen Mitgliedern der Cyber ​​Threat Alliance geteilt. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und kriminelle Cyberangreifer systematisch zu stören.
Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Nach dem erstem Cybervorfall droht oft der nächste 

Unternehmen, die Opfer eines Cyberangriffs geworden sind, sollten unbedingt ihre Sicherheitsstrategie überarbeiten, denn die Gefahr, dass die Hacker innerhalb eines ➡ Weiterlesen

Remote Browser für Zero Trust Ansatz

Die meisten Angriffe auf Unternehmen erfolgen per E-Mail oder über Browser-Inhalte und Downloads. Die Ericom Remote Browser Isolation (RBI) schleust ➡ Weiterlesen

EU-Finanzunternehmen mit EvilNum-Malware attackiert

Das Threat-Research-Team von Proofpoint hat beobachtet, dass die vom Unternehmen als TA4563 bezeichnete Hackergruppe verschiedene europäische Finanz- und Investmentunternehmen mit ➡ Weiterlesen

Security-Plattform: Schutz von Identitäten

CyberArk stellte auf seiner Sicherheitskonferenz CyberArk Impact 2022 mehrere Innovationen vor, die den Schutz von Identitäten auf ein neues Niveau ➡ Weiterlesen

Das Metaverse verlangt eine neue Cyber- und Datensicherheit

Auch wenn speziell in Europa vielerorts das Thema „Metaverse oder Metaversum“ noch mit Achselzucken quittiert wird, so nimmt dessen Entwicklung ➡ Weiterlesen

Log4j: Mittelstand geht weiter hohes Risiko

Die Mehrheit der Mittelständler ist dem Log4j bzw. Log4Shell-Problem noch nicht auf den Grund gegangen. Nur 40 Prozent sind das ➡ Weiterlesen

Infostealer-Malware DUCKTAIL zielt auf Unternehmen

WithSecure - ehemals F-Secure Business - hat eine neue Infostealer-Malware aufgespürt: DUCKTAIL. Die Malware wird via LinkedIn-Spearphishing ausgeliefert und zielt ➡ Weiterlesen

Open-Source-Tool „Chain-Bench“ für mehr Sicherheit

Aqua Security kooperiert mit dem Center for Internet Security und stellt den ersten Leitfaden für Sicherheit in der Software-Supply-Chain vor; ➡ Weiterlesen