Un rapport récent révèle comment les acteurs de la cyber-menace ont commencé à utiliser l’outil de simulation d’adversaire Brute Ratel C4 (BRc4) pour trouver des moyens d’échapper à la détection de la sécurité des terminaux et de pénétrer avec succès des réseaux supposés sécurisés. Ces acteurs de menace non identifiés ont réussi à fournir la charge utile BRc4 « badger » pour l’accès à distance, qui n’a pas été signalée comme malveillante par la plupart des outils de sécurité existants.
Les acteurs de la menace utilisent désormais la simulation de l’adversaire pour échapper à la sécurité des terminaux
Cela montre que la simulation de l’adversaire ne profite pas seulement aux défenseurs de la sécurité. Ses avantages peuvent également être exploités par des acteurs malveillants pour surmonter les défenses. Les outils d’équipe rouge et violet disponibles pour les professionnels de la cybersécurité sont également disponibles et peuvent être utiles aux adversaires mêmes que ces outils sont censés combattre.
Vaincre la sécurité des terminaux ?
Pour être clair, cette attaque qui a tiré parti de l’outil Brute Ratel C4 ne signifie pas que les solutions de sécurité des terminaux sont effectivement devenues inutiles. L’échec de la plupart des outils de sécurité à détecter la charge utile malveillante n’a duré qu’une période relativement brève. Après sa découverte, les contrôles de sécurité ont été rapidement mis à jour pour détecter cette nouvelle méthode d’attaque.
À l’heure actuelle, de nombreuses solutions de sécurité des terminaux intègrent déjà MITRE ATT&CK et d’autres cadres de sécurité. Ils partagent des informations sur les cybermenaces à l’échelle mondiale, ce qui permet de garantir que les attaques nouvellement découvertes sont rapidement communiquées à toutes les parties concernées afin qu’elles puissent mettre en œuvre les mises à jour nécessaires et être en mesure de détecter efficacement les attaques existantes et nouvelles.
En outre, le rapport (cité dans le premier paragraphe) indique que deux des 66 produits de sécurité des terminaux testés ont détecté avec succès la charge utile anormale. Certains produits de sécurité fonctionnent mieux que d’autres, et il n’y a rien d’inhabituel à cela. Les fournisseurs de sécurité disposent de différentes capacités pour faire face aux agressions ou aux menaces zero-day qui n’ont pas encore été ajoutées à leurs centres de renseignements sur les menaces.
Comment le rôle de la simulation ‘BRc4 a été découvert
L’un des fichiers malveillants observés comme ayant échappé à la détection était un fichier ISO qui a été conçu pour apparaître comme une soumission de CV. Si la cible double-clique sur ce fichier trompeur, l’invite de commande est lancée avec OneDriverUpdater.exe.
Ensuite, un fichier Version.dll modifié charge un fichier de charge utile crypté appelé OneDrive.update, qui est ensuite décrypté et charge la première étape du shellcode. Ce code est exécuté en tant que thread Windows dans RuntimeBroker.exe et commence à entrer en contact avec l’IP 174.129.157[.]251 sur le port TCP 443.
Un fichier malveillant similaire appelé badger_x64.exe a été découvert. Cela a communiqué avec l’IP 159.65.186[.]50 sur le port 443. Les chercheurs en sécurité ont trouvé des connexions supplémentaires à ce fichier malveillant (après son exécution), ce qui a permis d’identifier les victimes potentielles de la faille en Amérique du Nord et du Sud.
Les chercheurs en sécurité qui ont étudié ce nouveau schéma ont noté que les fichiers malveillants communiquaient avec des adresses IP qui utilisent des certificats SSL auto-signés, connus pour se faire passer pour Microsoft Security. En creusant davantage, ils ont appris qu’il y avait eu de nouvelles tentatives pour contacter des dizaines d’autres adresses IP et sept échantillons de BRc4.
« Actuellement, 12 fournisseurs identifient l’échantillon comme malveillant, dont huit classant cet échantillon comme » Brutel « , ce qui confirme en outre que notre code en mémoire est en quelque sorte associé à celui de Brute Ratel C4 », ont expliqué les chercheurs.
De plus, l’utilisation d’un fichier ISO décrit ci-dessus ressemble au fonctionnement d’APT29 ou de Cozy Bear. Pour cette raison, les chercheurs pensent que les acteurs de la menace utilisent BRc4 pour générer leurs charges utiles anormales. Ce n’est qu’un soupçon, cependant, mais un certain nombre de chercheurs envisageraient la possibilité que des acteurs de la menace souhaitent utiliser l’outil Brute Ratel pour faciliter leurs attaques.
De Cobalt Strike à Brute Ratel
L’utilisation d’une simulation d’adversaire et d’une solution d’équipe rouge n’est pas nouvelle. Cela a déjà été fait avec Cobalt Strike. Les opérateurs de rançongiciels et d’autres cybercriminels auraient partagé des versions piratées de cet outil de simulation pour attaquer les réseaux d’entreprise et diffuser latéralement des fichiers malveillants.
Cependant, les acteurs de la menace se tourneraient vers Brute Ratel. Bien que Brute Ratel ne soit pas exactement décrit par les chercheurs en sécurité comme nettement plus puissant et plus sophistiqué que Cobalt Strike, il se distingue par sa poussée de sécurité des terminaux.
Les chercheurs en sécurité qualifient Brute Ratel de « particulièrement dangereux ». Il s’agit d’une solution spécialement conçue pour contourner les fonctions de détection et de réponse aux terminaux (EDR) et d’antivirus afin d’aider les équipes de sécurité à renforcer leurs défenses. Cependant, il semble désormais également servir les intérêts des acteurs de la menace.
Un produit de cybersécurité bien intentionné
Sollicité pour commenter les récentes découvertes, le créateur de Brute Ratel, Chetan Nayak, a exprimé sa volonté de coopérer avec ceux qui travaillent pour faire face à cette menace émergente impliquant l’outil de simulation d’adversaire.
Dans un message Twitter maintenant supprimé, Nayak a écrit « Je suis disponible pour contacter et prêt à aider les autorités respectives à fournir des informations pertinentes ». En outre, Nayak a rejeté les commentaires de certains chercheurs en sécurité selon lesquels les gangs de rançongiciels sont ceux qui utilisent l’outil Brute Ratel à des fins néfastes. « Eh bien, ce ne sont pas des gangs de rançongiciels, mais en raison de la NDA, je ne peux pas divulguer grand-chose… »
Nayak dit qu’il y a un processus de vérification entrepris avant de vendre l’outil Brute Ratel aux utilisateurs, pour s’assurer qu’il n’est pas mal utilisé ou abusé. « Nous ne vendons le produit qu’aux entreprises enregistrées et aux particuliers disposant d’une adresse e-mail/domaine professionnel officiel après vérification de l’entreprise et des antécédents professionnels de la personne », indique le site Web de Brute Ratel.
Cependant, rien ne garantit que l’outil ne tombe pas entre les mains de cybercriminels. Le site Web de Brute Ratel insiste néanmoins sur le fait que l’utilisation de Brute Ratel pour des activités malveillantes n’est pas autorisée. « Si nous constatons que le logiciel est utilisé à des fins malveillantes, nous nous réservons le droit d’annuler la licence et de fournir une aide au bureau chargé de l’application de la loi. »
Ce qui doit être fait
Il est déraisonnable de s’attendre à ce qu’il soit pratiquement possible de s’assurer que seules des entreprises ou des individus légitimes ont accès à la solution de simulation d’adversaire Brute Ratel et d’équipe rouge. Les cybercriminels trouveront toujours des moyens d’obtenir ce qu’ils veulent.
Ce qui est faisable, c’est que les fournisseurs d’EDR et les fournisseurs de solutions de cybersécurité, en général, mettent à jour leurs services pour permettre la détection de toutes les activités de Brute Ratel et prennent des mesures proactives contre les menaces qu’elles peuvent poser. Les chercheurs en sécurité qui ont exposé cette nouvelle menace ont déjà partagé les IoC et les échantillons de fichiers liés à cette nouvelle menace. Les entreprises de cybersécurité doivent mettre à jour leurs systèmes en conséquence.
De la part des entreprises et des autres utilisateurs de solutions de sécurité des terminaux, il est recommandé de mettre à jour les systèmes de sécurité dès que possible. C’est une bonne idée d’envoyer des demandes aux fournisseurs de sécurité pour s’assurer que les solutions de sécurité mises en place sont déjà capables de détecter l’activité de Brute Ratel.
De plus, étant donné que MITRE ATT&CK a déjà cartographié cette nouvelle menace, il serait utile pour les organisations d’intégrer ce cadre ou d’utiliser des plates-formes de validation de sécurité qui intègrent MITRE ATT&CK dans le cadre de leur posture de sécurité.
Microsoft Defender pour Endpoint Security est-il suffisant ?
Le système d’exploitation Windows Defender natif n’est pas une mauvaise défense contre les attaques de terminaux. Cependant, Microsoft n’a publié aucune déclaration concernant la capacité de Windows Defender à détecter l’activité de Brute Ratel. Il y a des raisons de croire, cependant, que Microsoft y travaille déjà ou a déjà publié une mise à jour.
De plus, Microsoft est l’un des utilisateurs du framework MITRE ATT&CK. Microsoft Defender for Endpoint a entrepris l’évaluation MITRE Engenuity ATT&CK® et s’est imposé comme l’un des leaders de l’industrie lorsqu’il s’agit de stopper les attaques avancées de terminaux sur différentes plates-formes.
La menace Brute Ratel récemment découverte prouve à quel point les cybercriminels sont ingénieux. Ils peuvent transformer des outils utilisés pour la cyberprotection en outils capables de briser les défenses. Heureusement, la communauté de la cybersécurité ne manque pas de collaboration, de cadres, d’outils et d’experts généreux qui partagent leurs dernières découvertes et solutions. Il appartient aux organisations et aux autres cibles potentielles de cyberattaques de les utiliser à leur avantage.