El uso por parte del grupo APT de una herramienta legítima de pen-testing les da capacidades de sigilo, permitiéndoles evitar la detección por parte de las herramientas EDR y antivirus.
Los investigadores de seguridad han identificado recientemente varias campañas de ataque que utilizan técnicas de focalización similares a las de las APT y despliegan Brute Ratel C4 (BRc4), un marco de simulación de adversarios relativamente nuevo. Aunque el abuso de las herramientas de pruebas de penetración por parte de los hackers no es una novedad (Cobalt Strike y Meterpreter de Metasploit han sido utilizados por los grupos de amenazas durante años) Brute Ratel se centra en las técnicas de evasión de la detección, por lo que podría suponer un verdadero reto para los equipos de defensa.
“La aparición de una nueva capacidad de pruebas de penetración y emulación de adversarios es significativa”, afirman los investigadores de la empresa de seguridad Palo Alto Networks en un nuevo informe que analiza varias muestras recientes. “Sin embargo, lo más alarmante es la eficacia de BRc4 para derrotar las modernas capacidades defensivas de detección de EDR y AV”.
Brute Ratel un proyecto de hobby a tiempo parcial que se convirtió en un producto comercial
Brute Ratel es desarrollado por Chetan Nayak, también conocido como Paranoid Ninja, un ex ingeniero de detección y red teamer que menciona CrowdStrike y Mandiant como empleadores anteriores. El proyecto se lanzó en diciembre de 2020 y poco a poco fue creciendo en características y capacidades. En enero, Nayak anunció que había decidido centrarse a tiempo completo en el desarrollo de la herramienta y los cursos de formación asociados, y lanzó la versión principal 1.0 en mayo.
La herramienta ofrece ahora la capacidad de escribir canales de comando y control que utilizan servicios legítimos como Slack, Discord y Microsoft Teams. Puede inyectar shellcode en procesos existentes y utilizar llamadas al sistema no documentadas, en lugar de las llamadas normales a la API de Windows, que son supervisadas por el software de seguridad. BRc4 también puede realizar la ejecución en memoria de varios tipos de código y scripts, así como técnicas de reflexión de DLL. Dispone de una interfaz gráfica para consultas LDAP entre dominios e incluye un depurador que detecta los ganchos EDR y evita que se activen.
Según las publicaciones de Nayak en Twitter, BRc4 tiene más de 350 clientes que han comprado más de 480 licencias. Una licencia de un año cuesta 2.500 dólares y una renovación 2.250 dólares. Aunque esto puede parecer caro para un probador de penetración independiente, el costo es bastante asequible tanto para las empresas legítimas como para los actores de amenazas maliciosas.
Señales de uso indebido de BRc4
Los investigadores de Palo Alto Networks encontraron recientemente una muestra de malware de mayo que desplegaba BRc4 y utilizaba técnicas de empaquetado y entrega similares a las observadas en las recientes campañas de APT29. APT29, también conocido como Cozy Bear. Se trata de un grupo de amenazas que se cree que está asociado o forma parte de una de las agencias de inteligencia de Rusia. Fue responsable de ataques contra muchas agencias gubernamentales a lo largo de los años, incluyendo el ataque al Comité Nacional Demócrata en Estados Unidos en 2016.
La muestra fue subida a VirusTotal por una IP de Sri Lanka, se llamaba Roshan_CV.iso. Un archivo .iso es una imagen de disco óptico, esencialmente una copia del sistema de archivos en un disco óptico. Windows puede abrir este tipo de archivos de forma automática montándolos en una letra de unidad y mostrará los archivos que contiene como si se tratara de un directorio.
El único archivo no oculto en la muestra de Roshan_CV se llamaba Roshan-Bandara_CV_Dialog.lnk, que tenía un icono de Word para que pareciera un documento de Word. En realidad era un archivo de acceso directo de Windows con parámetros para ejecutar cmd.exe e iniciar un archivo oculto del mismo directorio llamado OneDriveUpdater.exe. Se trata de un archivo legítimo firmado por Microsoft y asociado a la herramienta de sincronización de archivos Microsoft OneDrive.
La razón por la que los atacantes utilizaron un archivo legítimo es porque este ejecutable busca y carga otro archivo llamado Version.dll si se coloca en el mismo directorio. Los atacantes proporcionaron su propio archivo Version.dll modificado maliciosamente para que fuera ejecutado por el legítimo OneDriveUpdater.exe. Esta es una técnica utilizada por los atacantes llamada secuestro del orden de búsqueda de DLL y puede ser eficaz para evadir la detección porque el código malicioso es cargado por un proceso legítimo y de confianza.
En el mismo directorio se incluyó otro archivo llamado vresion.dll (intencionadamente mal escrito). Se trata de una copia exacta del archivo legítimo version.dll y se incluyó para que la versión falsa pueda delegar cualquier llamada a funciones legítimas para mantener el proceso de OneDrive en funcionamiento. Además, la DLL falsa también descifra y lanza una carga útil almacenada en otro archivo oculto llamado OneDrive.Update. La carga útil descifrada era en realidad un shellcode que luego descifraba el código Brute Ratel C4 de una forma difícil de detectar, utilizando miles de instrucciones push y mov de Assembly para copiar el código y evitar la detección en memoria.
Todas estas técnicas de despliegue, hasta el uso de un archivo .iso con un .lnk en su interior que realizaba el secuestro de la orden de búsqueda DLL, se observaron en una reciente campaña de APT29 que distribuía un archivo llamado Decret.iso.
Un análisis de código reveló que OneDrive.Update era una copia casi exacta de badger_x64.exe, un componente en memoria que forma parte del framework Brute Ratel C4. Un análisis del servidor de comando y control utilizado por OneDrive.Update reveló conexiones desde tres direcciones IP en Sri Lanka, lo que sugiere múltiples víctimas en la región. Un análisis de otra muestra de badger_x64.exe subida a VirusTotal desde Ucrania reveló otro servidor C2 que recibía conexiones desde una organización argentina, un proveedor de televisión IP que ofrecía contenidos de América del Norte y del Sur y un importante fabricante textil de México.
El servidor C2 de la segunda muestra utilizaba un certificado autofirmado emitido a nombre de Microsoft Security. Los investigadores de Palo Alto rastrearon el historial del certificado y determinaron que se había utilizado en otras 41 direcciones IP durante el último año.
“Estas direcciones siguen una dispersión geográfica global y son predominantemente propiedad de grandes proveedores de alojamiento de servidores privados virtuales (VPS)”, dijeron los investigadores. “Ampliando nuestra investigación más allá de las dos muestras discutidas anteriormente, también hemos identificado siete muestras adicionales de BRc4 que se remontan a febrero de 2021”.
El abuso de las herramientas de seguridad legítimas es común
Si bien las organizaciones ciertamente deben ser conscientes de que BRc4 se está convirtiendo rápidamente en una herramienta que se encuentra en el arsenal de los grupos de hackers, esto no significa que su creador tuviera intenciones maliciosas o esté involucrado en estas actividades. De hecho, tras el informe de Palo Alto Networks, Nayak dijo en Twitter que había revocado las licencias utilizadas indebidamente y que estaba dispuesto a proporcionar a las autoridades cualquier información pertinente.
Muchas herramientas que han sido creadas por y para expertos en seguridad para ser utilizadas de forma defensiva y en compromisos sancionados de red teaming se han convertido en las favoritas de los hackers a lo largo de los años y han sido adoptadas tanto por grupos APT como por bandas de ciberdelincuentes. Los implantes Cobalt Strike y Meterpreter, la herramienta de vertido de credenciales Mimikatz, la herramienta de ejecución remota de código PsExec, que forma parte del paquete Sysinternals de Microsoft, y el marco de post-explotación PowerShell Empire de código abierto son algunos de los ejemplos más comunes.
Dicho esto, el uso de estas herramientas, y ahora de BRc4, en redes y sistemas debería, como mínimo, generar alertas que deberían investigarse. El informe de Palo Alto Networks contiene indicadores de compromiso para las muestras identificadas.
-Lucian Constantin, cio.com
