Інструменти Pentest фактично повинні використовуватися Red Teams для тестування поверхонь атак, виявлення прогалин у безпеці та їх усунення. Але ці потужні засоби тестування також можуть бути використані кіберзлочинцями. На жаль, служби безпеки часто не помічають їх.
Підрозділ 42, група аналізу зловмисного програмного забезпечення Palo Alto Networks, постійно шукає нові зразки зловмисного програмного забезпечення, які відповідають відомим шаблонам і тактикам Advanced Persistent Threat (APT). Один із таких зразків нещодавно було завантажено на VirusTotal, де він отримав позитивний вердикт від усіх 56 постачальників, які перевірили його. Іншими словами: жоден із провайдерів безпеки не визнав потенційну небезпеку небезпечного коду, який був прихований в інструменті!
56 сканерів на VirusTotal не виявляють жодної загрози
Зразок містив зловмисний код, пов’язаний з Brute Ratel C4 (BRc4), останнім інструментом Red teaming і моделювання атак противника, який з’явився на ринку. Незважаючи на те, що шкідливий код у цьому інструменті залишився поза увагою та менш відомий, ніж його побратими Cobalt Strike, шкідливий код не менш складний. Інструмент унікально небезпечний тим, що він спеціально розроблений, щоб уникнути виявлення функціями Endpoint Detection and Response (EDR) і Antivirus (AV). Його ефективність чітко продемонстрована у згаданій вище відсутності виявлення на VirusTotal у всіх постачальників,
Дуже хитрий і небезпечний інструмент
Що стосується C2, підрозділ 42 виявив, що зразок викликає IP-адресу Amazon Web Services (AWS) у Сполучених Штатах через порт 443. Крім того, сертифікат X.509 на порту прослуховування було налаштовано для імітації Microsoft з назвою організації «Microsoft» і організаційним підрозділом «Security». Крім того, використовуючи сертифікат та інші артефакти, Palo Alto Networks ідентифікувала загалом 41 шкідливу IP-адресу, дев’ять зразків BRc4 і ще три організації в Північній і Південній Америці, які наразі постраждали від шкідливого коду в цьому інструменті.
Цей шаблон — унікальний на сьогоднішній день — був упакований відповідно до добре відомих методів APT29 і їхніх останніх кампаній, які використовували добре відомі хмарні сховища та онлайн-додатки для співпраці. Зокрема, цей шаблон був упакований як окремий ISO. ISO містив файл ярлика Windows (LNK), шкідливу DLL корисного навантаження та законну копію Microsoft OneDrive Updater. Спроби запустити нешкідливу програму з підключеної папки ISO призвели до завантаження шкідливого коду як залежності за допомогою техніки, відомої як викрадення порядку пошуку DLL. Хоча самих методів пакування недостатньо, щоб остаточно віднести цей приклад до APT29, ці методи показують, що користувачі інструменту зараз розгортають BRc4.
Службі безпеки варто звернути увагу на інструменти
Загалом Unit 42 вважає, що це дослідження є важливим, оскільки воно не лише визначає новий навик Red Team, який переважно не визнається більшістю постачальників кібербезпеки, але, що більш важливо, навик зі зростаючою базою користувачів, який, на думку Palo Alto Networks, може бути використаний хакерів, спонсорованих урядом. Поточний аналіз містить огляд BRc4, детальний аналіз шкідливого зразка, порівняння цих зразків із нещодавнім зразком APT29, а також список індикаторів компрометації (IoC), які можна використовувати для сканування цієї шкідливої діяльності.
Palo Alto Networks закликає всіх постачальників засобів безпеки вжити заходів безпеки для виявлення активності цього інструменту пентестування, а всі організації бути уважними до активності цього інструменту.
Висновок дослідження
- Поява нової функції тестування на проникнення та емуляції зловмисників є важливою. Ще більшу тривогу викликає ефективність BRc4 у подоланні сучасних захисних можливостей EDR та AV-виявлення.
- За останні 2,5 роки цей інструмент перетворився з хобі на неповний робочий день на повний робочий день із постійною базою клієнтів. Оскільки ця клієнтська база зросла до сотень, цей інструмент отримав підвищену увагу в просторі кібербезпеки як з боку законних тестувальників проникнення, так і зловмисників.
- Аналіз двох прикладів, описаних підрозділом 42, а також вдосконалений підхід, використаний для упаковки шкідливого коду, показують, що кіберзлочинці почали використовувати цю здатність. Підрозділ 42 Palo Alto Networks вважає, що всі постачальники систем безпеки повинні створювати засоби захисту для виявлення BRc4 і щоб усі організації вживали профілактичних заходів для захисту від цього інструменту.
- Palo Alto Networks поділилася цими висновками, включаючи зразки файлів і індикатори компрометації (IoC), з іншими нашими членами Cyber Threat Alliance. Члени CTA використовують цю інформацію для швидкого розгортання засобів захисту для своїх клієнтів і систематичного перешкоджання злочинним кібератакникам.
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.