Brute Ratel 后利用工具包已被破解,现在正在讲俄语和讲英语的黑客社区免费共享。
对于那些不熟悉 Brute Ratel C4 (BRC4) 的人来说,它是由 Mandiant 和 CrowdStrike 的前红队队员 Chetan Nayak 创建的一个后开发工具包。
红队成员是网络安全专家,他们的工作是尝试破坏公司网络以了解其缺陷,而蓝队成员则试图防御这些攻击。
在这些演习之后,两个小组讨论了加强防御和加强安全的发现。
与 Cobalt Strike 类似,Brute Ratel 是红队使用的一个工具包,用于在受感染的网络设备上部署称为 badger 的代理,并使用它们远程执行命令并在网络上进一步传播。
Brute Ratel 被破解了
在过去的几年里,破解版的 Cobalt Strike 被威胁行为者和勒索软件团伙严重滥用 ,以至于它更容易被安全软件检测到。
因此,一些威胁行为者和勒索软件团伙一直在 悄悄地转向 Brute Ratel 进行攻击,据称他们创建了虚假的美国公司以通过许可验证系统。
然而,事情即将发生变化,因为网络威胁情报研究员 Will Thomas(又名 BushidoToken)报告说,Brute Ratel 的破解副本现在在在线黑客论坛的威胁参与者中广泛传播。
“现在在多个人口最多的网络犯罪论坛上有多个帖子,数据经纪人、恶意软件开发人员、初始访问经纪人和勒索软件附属机构都在这些论坛上闲逛,”Thomas 在 一份 关于破解版 Brute Ratel的新报告中警告说。
“这包括 BreachForums、CryptBB、RAMP、Exploit[.]in 和 Xss[.]is,以及各种 Telegram 和 Discord 组。”
通过对 XSS 和 Breached 黑客论坛的简短搜索,威胁参与者创建了多个主题,自 9 月中旬以来,他们一直在分享破解版的 Brute Ratel C4 版本 1.2.2。
来源:ZZQIDC
过去,Brute Ratel 开发人员 Chetan Nayak 告诉 BleepingComputer,他可以吊销任何出于恶意目的滥用 Brute Ratel 的客户的许可证。
然而,Nayak 声称未破解版本已上传到 VirusTotal,然后被“俄罗斯组织 Molecules”破解以取消许可证检查。
不管软件是如何泄露的,不幸的是为时已晚。
Thomas 告诉ZZQIDC,破解版可以正常工作并且似乎没有被篡改,这意味着我们可能很快就会看到该工具包的广泛使用。
“是的,你不需要输入许可证密钥,而且在我或我在 Curated Intel 的同事看来,no 不会被篡改,”Thomas 在与 ZZQIDC的对话中解释道。
事实上,威胁参与者已经开始在黑客论坛上分享他们测试工具包的截图。
来源:XSS
Thomas 最担心的是,Brute Ratel 能够生成目前安全软件不易检测到的 shellcode。
“对于许多安全专家来说,BRC4 工具最令人担忧的方面之一是它能够生成许多 EDR 和 AV 产品无法检测到的 shellcode,”Thomas 在他的报告中解释道。
“这种扩展的检测规避窗口可以给威胁参与者足够的时间来建立初始访问,开始横向移动,并在其他地方实现持久性。”
Thomas 建议安全、Windows 和网络管理员查看 MdSec 在 Brute Ratel C4 上的博客, 以了解有关在其网络上检测软件的更多信息。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客现在在线共享破解的Brute Ratel后利用工具包
