原文作者 Sean Gallagher
快喵加速器官网入口去年的报道显示,针对商业攻防安全工具Brute Ratel的使用逐渐上升,尤其是在涉及Black Cat 勒索软件事件的恶意行为者之间。当工具的一个版本公开后,许多人担心Brute Ratel会成为Cobalt Strike的继任者,而Cobalt Strike已经成为恶意行为者进行横向移动的首选工具。正因为其长期滥用,Cobalt Strike的地位并未被Brute Ratel取代。
被宣传为“最先进的红队与对手模拟软件”的Brute Ratel,由一个远程访问代理Badger、一个服务器和“指挥官”用户界面软件组成。类似于Cobalt Strike的“信标”,Badger实例能够相互通信并与C2服务器连接,提供从初始入侵点到目标网络内运行Badger实例的其他系统之间的隐秘通信通道。Badger之间的通信协议包括TCP和SMB文件共享协议,与C2服务器的通信则使用Web协议HTTP和HTTPS及基于HTTPS的DNSDOH。
尽管开发者坚称Brute Ratel不会像Cobalt Strike那样被盗版或滥用,但该工具套件在2022年还是被破解。2022年夏季,Brute Ratel被勒索软件行为者采用,引发了公众对其可能迅速取代Cobalt Strike的担忧。
然而,这些担忧并未实现。2022年9月,一个完整的Brute Ratel 122版本代号“斯堪的纳维亚防御”被乌克兰用户上传至Virus Total,使得研究人员可以分析。一旦发布,该工具很少被发现;根据Sophos在2022年9月至2023年3月的终端检测数据,发现客户数据中独立的Brute Ratel检测不到20次排除威胁模拟和其他安全测试。Sophos的应急响应团队在2022年仅处理了两起与Brute Ratel有关的案件。
在对通常与Brute Ratel攻击相关的样本进行调查时,我发现少数情况下,后来被识别为Brute Ratel相关的威胁,因其行为或文件分析被阻止为通用恶意软件。根据数据分析,这些情况与安全团队的攻击模拟与测试相关,而非实际攻击。最近一次实际尝试使用Brute Ratel的检测发生在1月。
相反,长期滥漏与逆向工程的攻击安全工具Cobalt Strike似乎获得了更广泛的应用,并仍在许多事件中扮演着关键角色,包括勒索软件攻击。同期内,Cobalt Strike的检测实例达到了数千个。
这并不是说Brute Ratel在威胁行为者中没有出现而是,遇到它的案例主要是资源充足的攻击者针对特定组织。最近波兰政府识别出一场网络间谍活动,该活动据称与俄罗斯情报部门有关,至少有一个案例中使用了Brute Ratel和Cobalt Strike的组合。Sophos已根据这一事件更新了Brute Ratel的检测。然而,近期其他案例很少,且没有涉及较小的网络犯罪组织。
Brute Ratel,和Cobalt Strike一样,属于后期利用工具。用户首先必须获得初始访问权限。此权限可以通过多种方式提供,包括在打开电子邮件附件时安装攻击载荷或利用暴露于互联网的服务器上的现有漏洞。但一
