APT29 olarak bilinen gelişmiş kalıcı tehditten bir sayfa alan yeni bir kampanyada bilgisayar korsanları, Brute Ratel C4’ü (BRc4) benimsemek yerine Cobalt Strike sömürü sonrası araç setinden uzaklaşıyor.
BRc4, kırmızı takımlı takımlama dünyasındaki en yeni başlangıçtır; Cobalt Strike gibi, penetrasyon testçileri için tasarlanmış bir düşmanca saldırı simülasyon aracıdır. Uç nokta algılama ve yanıt (EDR) teknolojisi veya diğer kötü amaçlı yazılımdan koruma araçları tarafından kolayca algılanmayan bir komut ve kontrol (C2) çerçevesidir.
A bildiri Palo Alto Networks’ün 42. Birim araştırma ekibinden, saldırganların Brute Ratel’in ücretsiz lisans korumalarını bozduğuna ve aracı suç amaçlı saldırı kampanyaları yürütmek için kullandığına dair kanıtlar buldu.
Araştırmacılar, ortaya çıkardıkları altyapının kapsamlı olduğunu belirtti.
“C2 açısından, örneğin 443 numaralı bağlantı noktası üzerinden Amerika Birleşik Devletleri’nde bulunan bir Amazon Web Services (AWS) IP adresine ev olarak çağrıldığını bulduk” diye açıkladılar. “Ayrıca, dinleme bağlantı noktasındaki X.509 sertifikası, Microsoft’u ‘Microsoft’ kuruluş adıyla ve ‘Güvenlik’ kuruluş birimiyle taklit edecek şekilde yapılandırıldı.”
Sertifikaya ve diğer eserlere dayanarak, “Bu araçtan şimdiye kadar etkilenen toplam 41 kötü amaçlı IP adresi, dokuz BRc4 örneği ve Kuzey ve Güney Amerika’da ek üç kuruluş belirledik” diye eklediler.
Arazide Yaşama Teknikleri
42. Ünite, BRc4’ü kullanan örneğin, iyi bilinen bulut depolama ve çevrimiçi işbirliği uygulamaları dahil olmak üzere bilinen APT29 tekniklerini kullandığını söyledi. Bu durumda, incelenen örnek bir Windows kısayol LNK dosyası, kötü amaçlı bir yük kitaplığı ve Microsoft OneDrive Güncelleyici’nin meşru bir kopyasını içeren bağımsız bir ISO olarak paketlenmiştir.
Raporda, “İyi niyetli uygulamayı ISO’ya monte edilmiş klasörden yürütme girişimleri, DLL arama emri kaçırma olarak bilinen bir teknik aracılığıyla kötü amaçlı yükün bir bağımlılık olarak yüklenmesine neden oldu” dedi.
Meşru araçları ve yerel yardımcı programları kullanma tekniği, “arazi dışında yaşamak” olarak bilinir ve tehdit aktörleri, kötü niyetli yükleri düşürmek için arazi dışında yaşayan ikili dosyaları (LOLBin’ler) giderek daha fazla kullanıyor.
Örneğin geçen hafta, Cyble araştırmacıları, çeşitli kötü amaçlı yazılım aileleri yük dağıtımı için onlara yaslandıkça, Dark Web pazarlarında popülaritesinin arttığını LNK dosya tabanlı oluşturucularında bir artış bildirdi.
Cyble araştırmacıları, “Sürekli artan sayıda yüksek profilli tehdit aktörlerinin yüklerini teslim etmek için .LNK dosyalarına geri döndüğünü gözlemledik.” yazdı. “Tipik olarak, tehdit aktörleri bu tür bulaşma mekanizmalarında LOLBin’leri kullanır çünkü bu, kötü niyetli faaliyetlerin tespit edilmesini önemli ölçüde zorlaştırır.”
Kırmızı Takım Araçlarının Uygun Olduğu Yer
Yönetmen Tim McGuffin, “Cobalt Strike ve BRc4 gibi araçlar tamamen karada yaşayan yaklaşımlar değil, çünkü “araçlarda yerleşik işletim sistemlerini kullanmak yerine sisteme bir parça kötü amaçlı yazılım eklemeniz gerekiyor” diye açıklıyor. LARES Consulting’de rekabet mühendisliği.
Bununla birlikte, bu araçlar yine de saldırganlar arasında algılama mekanizmalarından kaçma yetenekleri nedeniyle popülerdir, temelde karada yaşayan bir saldırının işe yaramasıyla aynı nedenle – aksi takdirde meşru yazılım olarak görülürler.
Netenrich’teki başlıca tehdit avcısı John Bambinek, “Brute Ratel, kurban ağlarında bulunabilecek aksi takdirde meşru bir araçtır” diye açıklıyor. “Kullanımı büyük olasılıkla beyaz listeye alındığından, saldırganların normalde yapabileceklerinden daha ihtiyatlı çalışmasına olanak tanır.”
Saldırganlar bala sinekleri gibi kırmızı takım araçlarına çekildiğinden, güvenlik dünyasının uzun süredir gerçekleştiğini gördüğü talihsiz bir döngüdür.
Digital Shadows kıdemli siber tehdit istihbarat analisti Ivan Righi’ye göre, BRc4’ün çekici bir araç olması şaşırtıcı değil. Kötü amaçlarla kötüye kullanılabilen Cobalt Strike’a benzer saldırgan güvenlik yeteneklerine sahip olmakla kalmaz, aynı zamanda Cobalt Strike’dan daha az bilinir.
Righi, “Pek çok güvenlik çözümü, genellikle kötü amaçlı amaçlar için kullanıldığı bilinen Cobalt Strike’ın aksine, Brute Ratel’i kötü niyetli olarak algılamayabilir” diyor.
McGuffin’e göre, güvenlik pratisyenleri, açık kaynak, ticari veya özel olsun, bunun gibi tüm araç setleriyle ilgilenmeli. Ancak, çerçeveyi veya aletin kendisini tespit etmeye yönelik köstebek vurma oyununa kapılmamaları gerektiğine inanıyor. Bunun yerine, sistemlerini güçlendirmeye odaklanmalıdırlar.
“Herhangi bir C2 takımına karşı önleme üzerinde uç nokta sertleştirmeye vurgu yapılabilir. Bir örnek Microsoft’un Saldırı Yüzeyini Azaltma ‘Uygulamaya İzin Verilen Listeleme’ kılavuzu” diyor ve ekliyor: “Ayar, bilinmeyen ikili dosyaların tanıtılmasını ve Komut ve Kontrol sunucularına C2 geri aramalarını önlemek için ağ çıkışının sertleştirilmesini engelliyor.”