Hacker missbrauchen neues Pentesting-Tool

Der Missbrauch von Penetrations-Tools durch Hacker ist zwar nicht neu - Cobalt Strike und Meterpreter von Metasploit werden seit Jahren von Bedrohungsgruppen eingesetzt. Allerdings konzentriert sich das neueste, zweckentfremdete Werkzeug, Brute Ratel, auf Techniken zur Umgehung von Erkennungsmaßnahmen und könnte daher eine echte Herausforderung für Verteidigungsteams darstellen.

Die Funktionsweise von Brute Ratel

Das von Chetan Nayak auch bekannt als Paranoid Ninja, entwickelte Tool bietet die Möglichkeit, Command-and-Control-Kanäle zu schreiben, die legitime Dienste wie Slack, Discord und Microsoft Teams nutzen. Es kann Shellcode in bestehende Prozesse injizieren und undokumentierte Syscalls anstelle von normalen Windows-API-Aufrufen verwenden, die von Sicherheitssoftware überwacht werden. BRc4 kann auch verschiedene Arten von Code und Skripten im Speicher ausführen sowie DLL-Spiegelungstechniken anwenden. Zudem verfügt das Tool über eine grafische Schnittstelle für domänenübergreifende LDAP-Abfragen und enthält einen Debugger, der EDR-Hooks erkennt und deren Überwachung vermeidet.

Nayak zufolge hat BRc4 mehr als 350 Kunden, die mehr als 480 Lizenzen erworben haben. Eine Ein-Jahres-Lizenz kostet 2.500 Dollar und eine Verlängerung 2.250 Dollar. Während dies für einen unabhängigen Penetrationstester teuer erscheinen mag, sind die Kosten sowohl für die legitime Nutzung in Unternehmen als auch für böswillige Bedrohungsakteure durchaus erschwinglich.

Anzeichen für BRc4-Missbrauch

Die Forscher von Palo Alto Networks fanden kürzlich ein Malware-Sample, das BRc4 einsetzte und dessen Verpackungs- und Auslieferungstechniken verwendete. Eine ähnliche Technik wurden in den jüngsten APT29-Kampagnen beobachtet. Die APT29-Gruppe, auch bekannt als Cozy Bear, soll mit einem der russischen Geheimdienste in Verbindung stehen. Sie war im Laufe der Jahre für Angriffe auf zahlreiche Regierungsbehörden verantwortlich, darunter auch für den Angriff auf das Democratic National Committee in den USA im Jahr 2016.

Es gibt auch schon Beispiele für einen Angriffe, bei denen Brute Ratel verwendet wurde: Von einer IP-Adresse in Sri Lanka auf VirusTotal wurde eine iso-Datei namens Roshan_CV.iso hochgeladen. Da es sich bei einer .iso-Datei um ein Abbild eines optischen Datenträgers handelt – im Wesentlichen eine Kopie des Dateisystems auf einem optischen Datenträger –, kann Windows solche Dateien automatisch öffnen, indem es sie in einen Laufwerksbuchstaben einbindet und die Dateien darin wie in einem Verzeichnis auflistet.

Die einzige nicht versteckte Datei im Roshan_CV-Beispiel hieß Roshan-Bandara_CV_Dialog.lnk. Sie war , die mit einem Word-Symbol versehenwar, um den Anschein zu erwecken, dass es sich um ein Word-Dokument handelt. Doch in Wirklichkeit handelte es sich um eine Windows-Verknüpfungsdatei mit Parametern zur Ausführung von cmd.exe und zum Starten einer versteckten Datei. Diese stammt aus demselben Verzeichnis namens OneDriveUpdater.exe. Also eine legitime, von Microsoft signierte Datei, die mit Microsoft OneDrive verbunden ist.

Die Angreifer haben ihre eigene, bösartig veränderte Datei Version.dll zur Verfügung gestellt, die von der legitimen OneDriveUpdater.exe ausgeführt werden sollte. Diese Angriffstechnik wird als DLL-Suchreihenfolge-Hijacking bezeichnet. Damit können Angriffe verschleiert werden, da der bösartige Code von einem legitimen und vertrauenswürdigen Prozess geladen wird.

Eine weitere Datei namens vresion.dll (absichtlich falsch geschrieben) war im selben Verzeichnis enthalten. Diese Datei ist eine exakte Kopie der legitimen version.dll und wurde eingefügt, damit die bösartige Version alle legitimen Funktionsaufrufe an sie weiterleiten kann. Dadurch wird der OneDrive-Prozess am Laufen gehalten. Nebenbei startete die bösartige DLL auch eine Payload, die in einer anderen versteckten Datei namens OneDrive.Update gespeichert war. Der Shellcode entschlüsselt daraufhin den Brute-Ratel-C4-Code. Dabei werden Tausende von Push- und Mov-Assembly-Anweisungen verwendete, um den Code zu kopieren und gleichzeitig eine Erkennung im Speicher zu vermeiden.

Diese Angriffsmethoden wurden in einer kürzlich durchgeführten APT29-Kampagne beobachtet, die eine Datei namens Decret.iso verteilte.

Eine Codeanalyse ergab, dass OneDrive.Update eine fast exakte Kopie von badger_x64.exe war, einer speicherinternen Komponente, die Teil des Brute Ratel C4-Frameworks ist. Eine Analyse des von OneDrive.Update verwendeten Command-and-Control-Servers ergab Verbindungen von drei IP-Adressen in Sri Lanka, was auf mehrere Opfer in dieser Region schließen lässt. Eine Analyse eines weiteren Beispiels von badger_x64.exe, das von der Ukraine aus auf VirusTotal hochgeladen wurde, ergab, dass ein weiterer C2-Server Verbindungen von einer argentinischen Organisation, einem IP-Fernsehanbieter, der nord- und südamerikanische Inhalte anbietet, und einem großen Textilhersteller in Mexiko erhielt.

Der C2-Server im zweiten Beispiel verwendete ein selbstsigniertes Zertifikat, das auf den Namen Microsoft Security ausgestellt war. Die Forscher von Palo Alto verfolgten den Verlauf des Zertifikats und stellten fest, dass es im vergangenen Jahr auf 41 weiteren IP-Adressen verwendet wurde.

"Diese Adressen weisen eine globale geografische Streuung auf und gehören überwiegend großen Virtual Private Server (VPS)-Hosting-Anbietern", so die Security-Experten. "Wir haben unsere Untersuchung über die beiden oben genannten Beispiele hinaus ausgeweitet und weitere sieben Beispiele von BRc4 identifiziert, die bis Februar 2021 zurückreichen."

Missbrauch von legitimen Sicherheitstools ist weit verbreitet

Unternehmen sollten sich darüber im Klaren sein, dass BRc4 schnell zu einem Tool im Arsenal von Hackergruppen wird. Doch das bedeutet nicht, dass sein Schöpfer bösartige Absichten hatte oder an diesen Aktivitäten beteiligt ist. Nach dem Bericht von Palo Alto Networks erklärte Nayak auf Twitter, dass er die missbräuchlich verwendeten Lizenzen widerrufen hat und bereit ist, den Behörden alle relevanten Informationen zur Verfügung zu stellen.

Viele Tools, die von und für Sicherheitsexperten entwickelt wurden, um defensiv und in sanktionierten Red-Teaming-Einsätzen genutzt zu werden, haben sich im Laufe der Jahre zu beliebten Tools für Hacker entwickelt. Sie wurden sowohl von APT-Gruppen als auch von anderen Cybercrime-Banden übernommen. Dazu zählen Cobalt Strike- und Meterpreter-Implantate, das Mimikatz-Tool zum Auslesen von Anmeldeinformationen, das PsExec-Tool zur Remotecode-Ausführung, das Teil des Sysinternals-Pakets von Microsoft ist, und das quelloffene PowerShell Empire-Framework zur Nachnutzung von Daten.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.