Na verdade, as ferramentas Pentest devem ser usadas pelos Red Teams para testar superfícies de ataque, descobrir falhas de segurança e fechá-las. Mas essas poderosas ferramentas de teste também podem ser mal utilizadas por criminosos cibernéticos. Infelizmente, eles são rapidamente ignorados pela segurança.
A Unidade 42, a equipe de análise de malware da Palo Alto Networks, está constantemente em busca de novas amostras de malware que correspondam aos padrões e táticas conhecidas de ameaças persistentes avançadas (APT). Uma dessas amostras foi carregada recentemente no VirusTotal, onde recebeu um veredicto positivo de todos os 56 fornecedores que a examinaram. Em outras palavras: nenhum dos provedores de segurança reconheceu o perigo potencial do código perigoso que estava oculto em uma ferramenta!
56 scanners no VirusTotal não detectam nenhuma ameaça
A amostra continha código malicioso relacionado ao Brute Ratel C4 (BRc4), a mais recente ferramenta de simulação de ataque adversário e equipe Red a chegar ao mercado. Embora o código malicioso nesta ferramenta tenha conseguido ficar fora dos holofotes e seja menos conhecido do que seus irmãos Cobalt Strike, o código malicioso não é menos sofisticado. A ferramenta é exclusivamente perigosa porque foi projetada especificamente para evitar a detecção pelos recursos Endpoint Detection and Response (EDR) e Antivirus (AV). Sua eficácia é claramente demonstrada na falta de detecção mencionada acima no VirusTotal em todos os provedores,
Ferramenta muito inteligente e perigosa
Com relação ao C2, a Unidade 42 descobriu que a amostra chamou um endereço IP da Amazon Web Services (AWS) nos Estados Unidos pela porta 443. Além disso, o certificado X.509 na porta de escuta foi configurado para representar a Microsoft com um nome de organização de "Microsoft" e unidade organizacional de "Segurança". Além disso, usando o certificado e outros artefatos, a Palo Alto Networks identificou um total de 41 endereços IP maliciosos, nove amostras BRc4 e outras três organizações nas Américas do Norte e do Sul que até agora foram afetadas pelo código malicioso nesta ferramenta.
Esse padrão - único até o momento - foi empacotado de acordo com as técnicas conhecidas do APT29 e suas campanhas recentes, que alavancaram o armazenamento em nuvem conhecido e os aplicativos de colaboração online. Especificamente, esse padrão foi empacotado como um ISO independente. O ISO continha um arquivo de atalho do Windows (LNK), uma DLL de carga maliciosa e uma cópia legítima do Microsoft OneDrive Updater. As tentativas de executar o aplicativo benigno a partir da pasta montada no ISO resultaram no carregamento do código malicioso como uma dependência por meio de uma técnica conhecida como sequestro de ordem de pesquisa de DLL. Embora as técnicas de empacotamento sozinhas não sejam suficientes para atribuir definitivamente esse exemplo ao APT29, essas técnicas mostram que os usuários da ferramenta agora estão implantando o BRc4.
Equipes de segurança devem ficar atentas às ferramentas
No geral, a Unit 42 acredita que este estudo é significativo porque não apenas identifica uma nova habilidade do Red Team que não é amplamente reconhecida pela maioria dos fornecedores de segurança cibernética, mas, mais importante, uma habilidade com uma base de usuários crescente, que a Palo Alto Networks acredita que poderia ser explorada por hackers patrocinados pelo governo. A análise atual fornece uma visão geral do BRc4, uma análise detalhada da amostra maliciosa, uma comparação entre essas amostras e uma amostra APT29 recente e uma lista de indicadores de comprometimento (IoCs) que podem ser usados para verificar essa atividade maliciosa.
A Palo Alto Networks pede a todos os fornecedores de segurança que implementem proteções para detectar atividades dessa ferramenta de pentest e que todas as organizações estejam alertas às atividades dessa ferramenta.
Conclusão do estudo
- O surgimento de um novo recurso de teste de penetração e emulação de invasor é significativo. Ainda mais alarmante é a eficácia do BRc4 em superar os recursos modernos de detecção defensiva de EDR e AV.
- Nos últimos 2,5 anos, essa ferramenta passou de um hobby de meio período para um projeto de desenvolvimento em tempo integral com uma base de clientes crescente. Como essa base de clientes cresceu para centenas, a ferramenta recebeu maior atenção em todo o espaço de segurança cibernética, tanto de testadores de penetração legítimos quanto de criminosos cibernéticos.
- A análise dos dois exemplos descritos pela Unidade 42, bem como a abordagem avançada usada para empacotar o código malicioso, deixa claro que os criminosos cibernéticos começaram a explorar essa capacidade. A Unidade 42 da Palo Alto Networks acredita que é imperativo que todos os fornecedores de segurança criem proteções para detectar o BRc4 e que todas as organizações tomem medidas proativas para se defender contra essa ferramenta.
- A Palo Alto Networks compartilhou essas descobertas, incluindo amostras de arquivos e indicadores de comprometimento (IoC), com nossos outros membros da Cyber Threat Alliance. Os membros do CTA usam essas informações para implantar proteções rapidamente para seus clientes e interromper sistematicamente os invasores cibernéticos criminosos.
Sobre a Palo Alto Networks A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.