Los equipos de seguridad se enfrentan a una nueva generación de herramientas ofensivas, y Brute Ratel C4 (BRC4) está a la cabeza. Desarrollado originalmente para ejercicios legítimos de equipos rojos y pruebas de seguridad, las potentes funciones de evasión y automatización de ataques de BRC4 lo han convertido rápidamente en la herramienta favorita de los atacantes del mundo real. Esto es lo que hay que saber.
¿Qué es Brute Ratel?
Brute Ratel es un framework de post-explotación y comando y control (C2), creado por Chetan Nayak, utilizado para simular comportamientos avanzados de atacantes. Sus capacidades incluyen:
- Sigilo y evasión: Altamente resistente a la detección por parte de herramientas EDR mediante la eliminación de hooks de userland, el cifrado de memoria y el enmascaramiento del sueño.
- Generación personalizada de cargas útiles: Admite cargas útiles EXE, DLL y shellcode con balizamiento flexible a través de HTTP/S, DNS, SMB y DoH.
- Gestión robusta de agentes: Utiliza "Badgers" como agentes para ejecutar comandos de atacantes.
- Operaciones sin archivos: Funciona totalmente en memoria, dejando rastros forenses mínimos.
- Perfiles de ataque altamente personalizables: Admite perfiles maleables únicos para disfrazar las comunicaciones como tráfico legítimo.
Cómo abusan los actores de amenazas de Brute Ratel
1. Configuración de perfiles de escucha y maleables
Los atacantes configuran BRC4 para comunicarse a través de HTTP/S con varias técnicas de ofuscación y evasión diseñadas para eludir las detecciones perimetrales y basadas en red: Dominios e IP rotativos Los operadores configuran varios nombres de dominio o direcciones IP que rotan o cambian con el tiempo, lo que ayuda a eludir las listas estáticas de permitidos/bloqueados y las fuentes de información sobre amenazas.
Perfiles maleables a medida
Los atacantes elaboran peticiones y respuestas con formato JSON que imitan el tráfico web legítimo, haciendo que la comunicación maliciosa se mezcle con el ruido normal de la red.
Cabeceras HTTP personalizadas
Los operadores definen sus propias cabeceras HTTP, por ejemplo imitando cabeceras de tipo de contenido como application/json, para hacer que el tráfico malicioso parezca una API normal o una comunicación de servicio web.
Varias rutas URI
BRC4 permite el uso de rutas URL aleatorias o predefinidas que parecen recursos web comunes (por ejemplo, /api/v1/data), lo que aumenta las posibilidades de eludir las detecciones basadas en firmas.
Métodos de comunicación de emergencia
Si se bloquea un canal de comunicación, los atacantes pueden reconfigurar las cargas útiles para conmutar por error a dominios o servidores C2 alternativos sin volver a infectar el objetivo.
2. Evasión EDR
Los atacantes aprovechan varias funciones avanzadas de evasión en BRC4 para eludir los mecanismos de seguridad en tiempo de ejecución y evitar ser detectados:
Desenganche de Userland
BRC4 se centra en los ganchos API del modo de usuario colocados por las soluciones EDR y antivirus. Al eliminar estos ganchos de las API clave de Windows, desactiva la capacidad del software de seguridad para inspeccionar o bloquear comportamientos maliciosos sin emitir alertas.
Enmascaramiento del sueño
Durante los periodos de inactividad, BRC4 cifra y oculta sus regiones en memoria, lo que dificulta que los escáneres de memoria o los EDR detecten cargas útiles estáticas o inactivas. Esto es especialmente eficaz contra las soluciones que supervisan los procesos de larga duración en busca de comportamientos anómalos.
Llamadas indirectas al sistema
En lugar de llamar directamente a las API de Windows -donde las herramientas de seguridad suelen supervisar la ejecución-, BRRC4 utiliza llamadas indirectas al sistema para ocultar la ruta de llamada, lo que dificulta a las soluciones de seguridad el rastreo y la detección de comportamientos maliciosos.
Suplantación de pila e hilo
BRC4 manipula el contexto de ejecución de sus subprocesos en ejecución falsificando los marcos de pila y las direcciones de inicio de los subprocesos. Esto engaña a las herramientas de análisis y depuradores para que malinterpreten o pasen por alto la actividad maliciosa, lo que permite a los atacantes eludir los análisis manuales y automatizados.
3. Robo de credenciales y movimiento lateral
Los atacantes utilizan BRC4 para ejecutar operaciones de robo de credenciales y movimiento lateral con precisión y sigilo:
Ataques Kerberoasting
BRC4 automatiza la enumeración de nombres principales de servicio (SPN) en entornos de Active Directory, lo que permite a los atacantes extraer tickets de servicio de concesión de tickets (TGS) de Kerberos. Estos tickets pueden ser crackeados offline para revelar contraseñas de cuentas de servicio en texto plano, proporcionando acceso elevado a sistemas y servicios sensibles.
Robo de testigos de sesión
BRC4 permite a los atacantes capturar y almacenar tokens de autenticación de sesiones de usuario activas. Al reutilizar estos tokens, los atacantes pueden hacerse pasar por usuarios privilegiados, como administradores de dominio, sin necesidad de conocer sus contraseñas reales, lo que permite una escalada de privilegios sin fisuras.
Movimiento lateral sigiloso
BRC4 proporciona múltiples técnicas de movimiento lateral:
- SC divert: Modifica los servicios existentes en hosts remotos para ejecutar cargas útiles controladas por atacantes sin crear nuevos servicios, lo que reduce el riesgo de detección.
- Ejecución SMB: Ejecuta comandos en sistemas remotos mediante protocolos SMB, aprovechando los recursos compartidos administrativos existentes.
- Ejecución similar a PSExec: Despliega cargas útiles de forma remota utilizando técnicas similares a la herramienta PSExec de Microsoft, sin depender de binarios adicionales.
- Ejecución WMI: Ejecuta comandos en sistemas remotos a través de Windows Management Instrumentation (WMI), evitando la necesidad de soltar ejecutables en disco.
4. Técnicas de inyección y memoria de procesos
BRC4 permite a los atacantes ejecutar código malicioso de forma sigilosa y evasiva aprovechando técnicas avanzadas de manipulación de procesos y memoria:
Inyección de código shell en procesos de confianza
BRC4 puede inyectar código shell sin procesar directamente en la memoria de procesos legítimos del sistema o del usuario, lo que permite que el código controlado por el atacante se ejecute bajo la apariencia de aplicaciones de confianza como explorer.exe o svchost.exe, dificultando enormemente la detección por parte de las herramientas de seguridad.
Carga reflexiva de DLL para una ejecución sigilosa
Los atacantes utilizan la inyección reflexiva de DLL para cargar DLL maliciosas en memoria sin escribirlas nunca en el disco. Esto minimiza los artefactos forenses y permite que las cargas útiles se ejecuten en memoria, evadiendo los mecanismos de detección basados en archivos.
Ejecución en línea de C# sin tocar el disco
BRC4 permite la ejecución de cargas útiles de C# completamente en memoria utilizando métodos de ejecución reflexivos o en línea. Esto permite a los atacantes ejecutar herramientas y scripts basados en .NET, como recolectores de credenciales o utilidades de reconocimiento, sin escribir ejecutables en el disco, lo que reduce la probabilidad de detección.
5. Evitar la detección repetida
Los atacantes reducen la exposición dificultando a los defensores la captura, reproducción o análisis de sus cargas útiles:
Claves de autenticación de un solo uso
BRC4 incrusta claves de autenticación únicas y de un solo uso en cada carga útil. Una vez que se ejecuta una carga útil y se conecta de nuevo al servidor de mando y control del atacante, la clave queda invalidada. Esto impide que los defensores capturen la carga útil y la reproduzcan en entornos aislados para analizarla o generar firmas de detección basadas en ejecuciones repetidas.
Impedir la reutilización de la carga útil
Al invalidar las claves de autenticación utilizadas, BRC4 garantiza que ni los defensores ni otros atacantes puedan volver a utilizar la misma carga útil. Esto limita la capacidad de los defensores para realizar ingeniería inversa o construir inteligencia de amenazas fiable a partir de una muestra capturada.
Limitación del análisis forense
Dado que cada carga útil tiene una clave única y caduca tras su primer uso, los defensores se enfrentan a importantes retos a la hora de realizar análisis estáticos o dinámicos de muestras en vivo, lo que les obliga a confiar en la detección de comportamientos en lugar de en métodos basados en firmas.
Brute Ratel vs. Cobalt Strike
Aunque Brute Ratel y Cobalt Strike ofrecen casi la misma gama de características de seguridad ofensiva -incluida la generación de cargas útiles, capacidades de mando y control, y herramientas de post-explotación- su arquitectura y métodos de evasión difieren significativamente.
Cobalt Strike, lanzado por primera vez en 2012, se convirtió en el estándar del sector para las operaciones de los equipos rojos, pero no se diseñó originalmente teniendo en cuenta los EDR modernos. Brute Ratel, lanzado en 2020, se diseñó específicamente para evadir las soluciones EDR y antivirus actuales.
Cuando se introdujo por primera vez, BRC4 era relativamente desconocido para las herramientas defensivas, lo que le permitía eludir la mayoría de los productos de seguridad. Hoy en día, la mayoría de los proveedores de EDR se han adaptado y ahora incluyen firmas de detección para las actividades de BRC4.
Cómo detecta Vectra AI las operaciones de Brute Ratel
Vectra AI detecta comportamientos BRC4 en cada fase de la cadena de ataque mediante el análisis de las tácticas, técnicas y procedimientos de los atacantes asignados al marco MITRE ATT&CK . Esto incluye la detección de comportamientos que van más allá de las firmas de malware o los indicadores de peligro conocidos (IOC).
Vectra AI se centra en las siguientes actividades de alto riesgo que reflejan comportamientos reales de los atacantes, independientemente de la herramienta específica que se utilice, incluido el Brute Ratel:
- Anomalías de privilegios: Detecta el uso inusual de identidades y las escaladas de privilegios.
- Ejecución remota sospechosa: Identifica movimientos laterales a través de SMB, WMI y manipulación de servicios.
- Túneles C2 ocultos: Descubre el balizamiento encubierto mediante HTTP/S, DNS o DoH.
- Abuso de credenciales: Spots Kerberoasting y suplantación de token.
- Exfiltración de datos y ransomware: Detecta el robo masivo de datos y la actividad de cifrado de archivos.
Cobertura de Vectra AIAI del marco MITRE ATT&CK
¿Listo para poner a prueba tus defensas?
La mejor forma de prepararse para ataques que aprovechan herramientas como Brute Ratel es mediante una Evaluación de Seguridad Ofensiva. Nuestros expertos simulan estas técnicas en su entorno, ayudándole a validar sus defensas y a mejorar sus capacidades de detección y respuesta. Póngase en contacto con nosotros para programar su evaluación hoy mismo.