Les équipes de sécurité sont confrontées à une nouvelle génération d'outils offensifs, et Brute Ratel C4 (BRC4) mène la charge. Développé à l'origine pour les exercices légitimes des équipes rouges et les tests de sécurité, les puissantes fonctions d'évasion et d'automatisation des attaques de BRC4 en ont rapidement fait un outil de prédilection pour les attaquants du monde réel. Voici ce que vous devez savoir.
Qu'est-ce que Brute Ratel ?
Brute Ratel est un cadre de post-exploitation et de commande et contrôle (C2), créé par Chetan Nayak, utilisé pour simuler des comportements d'attaquants avancés. Ses capacités sont les suivantes :
- Furtivité et évasion : Très résistant à la détection par les outils EDR grâce à la suppression des crochets en zone utilisateur, au cryptage de la mémoire et au masquage du sommeil.
- Génération de charges utiles personnalisées: Prise en charge des charges utiles EXE, DLL et shellcode avec un balisage flexible via HTTP/S, DNS, SMB et DoH.
- Gestion robuste des agents: Utilise des "Badgers" comme agents pour exécuter les commandes des attaquants.
- Opérations sans fichier: Fonctionne entièrement en mémoire, ne laissant que des traces minimes.
- Profils d'attaque hautement personnalisables: Prise en charge de profils malléables uniques pour déguiser les communications en trafic légitime.
Comment cybercriminels utilisent Brute Ratel
1. Configuration de l'auditeur et du profil malléable
Les attaquants configurent BRC4 pour qu'il communique via HTTP/S avec plusieurs techniques d'obscurcissement et d'évasion conçues pour contourner les détections au niveau du périmètre et du réseau : Les opérateurs configurent plusieurs noms de domaine ou adresses IP qui tournent ou changent au fil du temps, ce qui permet d'éviter les listes statiques d'autorisation/de blocage et les flux d'informations sur les menaces.
Profils malléables sur mesure
Les attaquants conçoivent des requêtes et des réponses au format JSON qui imitent le trafic web légitime, de sorte que les communications malveillantes se fondent dans le bruit normal du réseau.
En-têtes HTTP personnalisés
Les opérateurs définissent leurs propres en-têtes HTTP, par exemple en imitant des en-têtes de type contenu comme application/json, afin de faire passer le trafic malveillant pour une communication API ou de service web normale.
Chemins d'accès multiples
BRC4 permet d'utiliser des chemins d'URL aléatoires ou prédéfinis qui ressemblent à des ressources web courantes (par exemple, /api/v1/data), ce qui augmente les chances de contourner les détections basées sur les signatures.
Méthodes de communication de secours
Si un canal de communication est bloqué, les attaquants peuvent reconfigurer les charges utiles pour basculer vers d'autres domaines ou serveurs C2 sans réinfecter la cible.
2. Évasion du RGPD
Les attaquants exploitent plusieurs fonctions d'évasion avancées dans BRC4 pour contourner les mécanismes de sécurité d'exécution et éviter d'être détectés :
Décrochage du Userland
BRC4 cible les crochets d'API en mode utilisateur placés par les solutions EDR et antivirus. En supprimant ces crochets des principales API Windows, il empêche les logiciels de sécurité d'inspecter ou de bloquer les comportements malveillants sans déclencher d'alertes.
Masquage du sommeil
Pendant les périodes d'inactivité, BRC4 chiffre et cache ses régions en mémoire, ce qui rend difficile la détection des charges utiles statiques ou dormantes par les scanners de mémoire ou les EDR. Ceci est particulièrement efficace contre les solutions qui surveillent les processus de longue durée pour détecter les comportements anormaux.
Appels de service indirects
Au lieu d'appeler directement les API Windows, dont les outils de sécurité surveillent souvent l'exécution, BRC4 utilise des appels syscall indirects pour obscurcir le chemin d'appel, ce qui rend plus difficile pour les solutions de sécurité de tracer et de signaler les comportements malveillants.
Usurpation de pile et de fil de discussion
BRC4 manipule le contexte d'exécution de ses threads en usurpant les images de la pile et les adresses de démarrage des threads. Cela permet de tromper les outils d'analyse et les débogueurs en les amenant à mal interpréter ou à ignorer l'activité malveillante, ce qui permet aux attaquants d'échapper aux analyses manuelles et automatisées.
3. Vol de titres et mouvements latéraux
Les attaquants utilisent BRC4 pour exécuter des opérations de vol d'informations d'identification et de déplacement latéral avec précision et furtivité :
Attaques de Kerberoasting
BRC4 automatise l'énumération des noms de principaux services (SPN) dans les environnements Active Directory, ce qui permet aux attaquants d'extraire des tickets de service Kerberos (TGS). Ces tickets peuvent ensuite être piratés hors ligne pour révéler les mots de passe en clair des comptes de service, ce qui permet d'obtenir un accès élevé aux systèmes et services sensibles.
Vol de jetons de session
BRC4 permet aux attaquants de capturer et de stocker les jetons d'authentification des sessions utilisateur actives. En réutilisant ces jetons, les attaquants peuvent se faire passer pour des utilisateurs privilégiés tels que des administrateurs de domaine sans avoir besoin de connaître leurs mots de passe réels, ce qui permet une escalade transparente des privilèges.
Mouvement latéral furtif
Le BRC4 propose de multiples techniques de déplacement latéral :
- Divergence SC : Modifie les services existants sur des hôtes distants pour exécuter des charges utiles contrôlées par l'attaquant sans créer de nouveaux services, ce qui réduit le risque de détection.
- Exécution SMB : Exécute des commandes sur des systèmes distants à l'aide des protocoles SMB, en tirant parti des partages administratifs existants.
- Exécution de type PSExec : Déploie des charges utiles à distance en utilisant des techniques similaires à l'outil PSExec de Microsoft, sans s'appuyer sur des binaires supplémentaires.
- Exécution WMI : Exécute des commandes sur des systèmes distants par l'intermédiaire de l'instrumentation de gestion Windows (WMI), ce qui évite de déposer des exécutables sur le disque.
4. Injection de processus et techniques de mémoire
BRC4 permet aux attaquants d'exécuter des codes malveillants de manière furtive et évasive en exploitant des techniques avancées de manipulation des processus et de la mémoire :
Injection de codes-barres dans des processus de confiance
BRC4 peut injecter du shellcode brut directement dans la mémoire de processus système ou utilisateur légitimes, ce qui permet au code contrôlé par l'attaquant de s'exécuter sous l'apparence d'applications fiables telles que explorer.exe ou svchost.exe, rendant ainsi la détection par les outils de sécurité beaucoup plus difficile.
Chargement réfléchi de DLL pour une exécution furtive
Les attaquants utilisent l'injection de DLL par réflexion pour charger des DLL malveillantes dans la mémoire sans jamais les écrire sur le disque. Cela minimise les artefacts médico-légaux et permet aux charges utiles de s'exécuter en mémoire, échappant ainsi aux mécanismes de détection basés sur les fichiers.
Exécution C# en ligne sans toucher au disque
BRC4 permet l'exécution de charges utiles C# entièrement en mémoire à l'aide de méthodes d'exécution réfléchies ou en ligne. Cela permet aux attaquants d'exécuter des outils et des scripts basés sur .NET, tels que des collecteurs d'informations d'identification ou des utilitaires de reconnaissance, sans écrire d'exécutables sur le disque, ce qui réduit la probabilité d'être détecté.
5. Éviter les détections répétées
Les attaquants réduisent leur exposition en rendant plus difficile pour les défenseurs la capture, la relecture ou l'analyse de leurs charges utiles :
Clés d'authentification uniques
BRC4 incorpore des clés d'authentification uniques et à usage unique dans chaque charge utile. Une fois qu'une charge utile est exécutée et se connecte au serveur de commande et de contrôle de l'attaquant, la clé est invalidée. Cela empêche les défenseurs de capturer la charge utile et de la rejouer dans des environnements de bac à sable pour l'analyser ou pour générer des signatures de détection basées sur des exécutions répétées.
Empêcher la réutilisation de la charge utile
En invalidant les clés d'authentification utilisées, BRC4 garantit que la même charge utile ne peut pas être réutilisée par les défenseurs ou d'autres attaquants. Cela limite la capacité des défenseurs à effectuer de la rétro-ingénierie ou à obtenir des informations fiables sur les menaces à partir d'un échantillon capturé.
Limiter l'analyse médico-légale
Étant donné que chaque charge utile est dotée d'une clé unique et expire après la première utilisation, les défenseurs sont confrontés à d'importantes difficultés pour effectuer des analyses statiques ou dynamiques sur des échantillons vivants, ce qui les oblige à s'appuyer sur la détection comportementale plutôt que sur des méthodes basées sur les signatures.
Brute Ratel vs. Cobalt Strike
Si Brute Ratel et Cobalt Strike offrent pratiquement la même gamme de fonctions de sécurité offensives - notamment la génération de charges utiles, les capacités de commande et de contrôle et les outils de post-exploitation -, leur architecture et leurs méthodes d'évasion diffèrent considérablement.
Cobalt Strike, publié pour la première fois en 2012, est devenu la norme de l'industrie pour les opérations de l'équipe rouge, mais n'a pas été conçu à l'origine pour les EDR modernes. Brute Ratel, lancé en 2020, a été conçu pour échapper aux solutions EDR et antivirus contemporaines.
Lorsqu'il a été introduit pour la première fois, le BRC4 était relativement peu connu des outils défensifs, ce qui lui permettait de contourner la plupart des produits de sécurité. Aujourd'hui, la plupart des fournisseurs d'EDR se sont adaptés et incluent désormais des signatures de détection pour les activités BRC4.
Comment Vectra AI détecte les opérations de Brute Ratel
Vectra AI détecte les comportements BRC4 à chaque phase de la chaîne d'attaque en analysant les tactiques, les techniques et les procédures des attaquants en fonction du cadre MITRE ATT&CK de MITRE ATT&CK Cela inclut la détection de comportements qui vont au-delà des signatures de malware ou des indicateurs de compromission (IOC) connus.
Vectra AI se concentre sur les activités à haut risque suivantes qui reflètent les comportements réels des attaquants, indépendamment de l'outil spécifique utilisé, y compris Brute Ratel :
- Anomalies de privilèges : Détecte les utilisations inhabituelles de l'identité et les escalades de privilèges.
- Exécution à distance suspecte : Identifie les mouvements latéraux via SMB, WMI et la manipulation des services.
- Tunnels C2 cachés : Découvre les balises secrètes utilisant HTTP/S, DNS ou DoH.
- Abus de compétences : Spots Kerberoasting et token impersonation.
- Exfiltration de données et ransomware : Détecte les vols de données en masse et les activités de cryptage de fichiers.
Couverture par Vectra AIdu cadre MITRE ATT&CK
Prêt à tester vos défenses ?
La meilleure façon de se préparer à des attaques utilisant des outils tels que Brute Ratel est de procéder à une évaluation de la sécurité offensive. Nos experts simulent ces techniques dans votre environnement, vous aidant ainsi à valider vos défenses et à améliorer vos capacités de détection et de réponse. Contactez-nous pour planifier votre évaluation dès aujourd'hui !