Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Come gli hacker utilizzano Brute Ratel (BRC4)

14 maggio 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Come gli hacker utilizzano Brute Ratel (BRC4)

I team di sicurezza devono affrontare una nuova generazione di strumenti offensivi, e Brute Ratel C4 (BRC4) è in prima linea. Sviluppato originariamente per esercitazioni legittime di red team e test di sicurezza, BRC4 è diventato rapidamente uno degli strumenti preferiti dagli hacker grazie alle sue potenti funzionalità di evasione e automazione degli attacchi. Ecco cosa c'è da sapere.

Cos'è Brute Ratel?

Brute Ratel è un framework post-exploit e di comando e controllo (C2), creato da Chetan Nayak, utilizzato per simulare comportamenti avanzati degli aggressori. Le sue funzionalità includono:

  1. Stealth & evasion: altamente resistente al rilevamento da parte degli strumenti EDR grazie alla rimozione degli hook userland, alla crittografia della memoria e al mascheramento dello stato di sospensione.
  2. Generazione di payload personalizzati: supporta payload EXE, DLL e shellcode con beaconing flessibile tramite HTTP/S, DNS, SMB e DoH.
  3. Gestione robusta degli agenti: utilizza "Badgers" come agenti per l'esecuzione dei comandi degli aggressori.
  4. Operazioni senza file: Operano interamente in memoria, lasciando tracce forensi minime.
  5. Profili di attacco altamente personalizzabili: supporta profili unici e malleabili per mascherare le comunicazioni come traffico legittimo.

Come gli autori delle minacce abusano di Brute Ratel

1. Configurazione del profilo dell'ascoltatore e malleabile

Gli aggressori configurano BRC4 per comunicare tramite HTTP/S con diverse tecniche di offuscamento ed evasione progettate per aggirare i sistemi di rilevamento perimetrali e basati sulla rete: Domini e IP a rotazione Gli operatori configurano più nomi di dominio o indirizzi IP che ruotano o cambiano nel tempo, contribuendo a eludere gli elenchi statici di autorizzazioni/blocchi e i feed di informazioni sulle minacce.

Profili malleabili personalizzati

Gli aggressori creano richieste e risposte in formato JSON che imitano il traffico web legittimo, facendo sì che le comunicazioni dannose si confondano con il normale rumore di rete.

Intestazioni HTTP personalizzate

Gli operatori definiscono le proprie intestazioni HTTP, ad esempio imitando le intestazioni del tipo di contenuto come application/json, per far sembrare il traffico dannoso come una normale comunicazione API o di servizio web.

Percorsi URI multipli

BRC4 consente l'uso di percorsi URL randomizzati o predefiniti che assomigliano a risorse web comuni (ad esempio, /api/v1/data), aumentando la possibilità di aggirare i rilevamenti basati sulle firme.

Metodi di comunicazione di riserva

Se un canale di comunicazione viene bloccato, gli aggressori possono riconfigurare i payload per eseguire il failover su domini alternativi o server C2 senza reinfectare il bersaglio.

Screenshot dell'interfaccia Brute Ratel che mostra la configurazione dell'HTTP Listener
Screenshot dell'interfaccia Brute Ratel che mostra la configurazione dell'HTTP Listener

2. Evasione EDR

Gli aggressori sfruttano diverse funzionalità avanzate di evasione presenti in BRC4 per aggirare i meccanismi di sicurezza runtime ed evitare il rilevamento:

Sganciamento dello spazio utente

BRC4 prende di mira gli hook API in modalità utente inseriti dalle soluzioni EDR e antivirus. Rimuovendo questi hook dalle API chiave di Windows, disabilita la capacità del software di sicurezza di ispezionare o bloccare comportamenti dannosi senza generare avvisi.

Mascheramento del sonno

Durante i periodi di inattività, BRC4 crittografa e nasconde le sue regioni in memoria, rendendo difficile per gli scanner di memoria o gli EDR rilevare payload statici o dormienti. Ciò è particolarmente efficace contro le soluzioni che monitorano i processi di lunga durata alla ricerca di comportamenti anomali.

Chiamate di sistema indirette

Invece di richiamare direttamente le API di Windows, dove gli strumenti di sicurezza spesso monitorano l'esecuzione, BRC4 utilizza chiamate di sistema indirette per oscurare il percorso di chiamata, rendendo più difficile per le soluzioni di sicurezza tracciare e segnalare comportamenti dannosi.

Stack & thread spoofing

BRC4 manipola il contesto di esecuzione dei thread in esecuzione falsificando gli stack frame e gli indirizzi di avvio dei thread. Ciò induce gli strumenti di analisi e i debugger a interpretare erroneamente o a trascurare le attività dannose, consentendo agli aggressori di eludere sia l'analisi manuale che quella automatizzata.

Screenshot che confronta Cobalt Strike BRC4 e Cobalt Strike
Screenshot che confronta Cobalt Strike BRC4 e Cobalt Strike

3. Furto di credenziali e movimento laterale

Gli aggressori utilizzano BRC4 per eseguire operazioni di furto di credenziali e spostamenti laterali con precisione e discrezione:

Kerberoasting

BRC4 automatizza l'enumerazione dei nomi principali dei servizi (SPN) all'interno degli ambienti Active Directory, consentendo agli aggressori di estrarre i ticket del servizio di concessione dei ticket (TGS) Kerberos. Questi ticket possono quindi essere decifrati offline per rivelare le password in chiaro degli account di servizio, fornendo un accesso elevato a sistemi e servizi sensibili.

Furto di token di sessione

BRC4 consente agli aggressori di acquisire e memorizzare i token di autenticazione dalle sessioni utente attive. Riutilizzando questi token, gli aggressori possono impersonare utenti privilegiati come gli amministratori di dominio senza bisogno di conoscere le loro password effettive, consentendo un'escalation dei privilegi senza soluzione di continuità.

Movimento laterale furtivo

BRC4 offre diverse tecniche di movimento laterale:

  • SC divert: modifica i servizi esistenti su host remoti per eseguire payload controllati dall'autore dell'attacco senza creare nuovi servizi, riducendo il rischio di rilevamento.
  • Esecuzione SMB: esegue comandi su sistemi remoti utilizzando protocolli SMB, sfruttando le condivisioni amministrative esistenti.
  • Esecuzione simile a PSExec: distribuisce payload in remoto utilizzando tecniche simili allo strumento PSExec di Microsoft, senza fare affidamento su binari aggiuntivi.
  • Esecuzione WMI: esegue comandi su sistemi remoti tramite Windows Management Instrumentation (WMI), evitando la necessità di copiare i file eseguibili sul disco.
Screenshot dell'interfaccia BRC4 che mostra il profiler del payload
Screenshot dell'interfaccia BRC4 che mostra il profiler del payload

4. Tecniche di iniezione di processi e memoria

BRC4 consente agli aggressori di eseguire codice dannoso in modo furtivo ed evasivo sfruttando tecniche avanzate di manipolazione dei processi e della memoria:

Iniezione di shellcode in processi affidabili

BRC4 può iniettare codice shellcode grezzo direttamente nella memoria di processi di sistema o utente legittimi, consentendo al codice controllato dall'autore dell'attacco di essere eseguito sotto le spoglie di applicazioni affidabili come explorer.exe o svchost.exe, rendendo molto più difficile il rilevamento da parte degli strumenti di sicurezza.

Caricamento DLL riflettente per esecuzione invisibile

Gli aggressori utilizzano l'iniezione DLL riflettente per caricare DLL dannose nella memoria senza mai scriverle su disco. Ciò riduce al minimo gli artefatti forensi e consente l'esecuzione dei payload nella memoria, eludendo i meccanismi di rilevamento basati sui file.

Esecuzione C# in linea senza toccare il disco

BRC4 consente l'esecuzione di payload C# interamente in memoria utilizzando metodi di esecuzione riflettenti o inline. Ciò consente agli aggressori di eseguire strumenti e script basati su .NET, come raccoglitori di credenziali o utilità di ricognizione, senza scrivere eseguibili su disco, riducendo la probabilità di rilevamento.

Screenshot della funzionalità di iniezione di processo di BRC4
Screenshot della funzionalità di iniezione di processo di BRC4

5. Evitare il rilevamento ripetuto

Gli aggressori riducono l'esposizione rendendo più difficile per i difensori catturare, riprodurre o analizzare i loro payload:

Chiavi di autenticazione monouso

BRC4 incorpora chiavi di autenticazione uniche e monouso in ogni payload. Una volta che un payload viene eseguito e si ricollega al server di comando e controllo dell'autore dell'attacco, la chiave viene invalidata. Ciò impedisce ai difensori di catturare il payload e riprodurlo in ambienti sandbox per l'analisi o generare firme di rilevamento basate su esecuzioni ripetute.

Prevenzione del riutilizzo del payload

Invalidando le chiavi di autenticazione utilizzate, BRC4 garantisce che lo stesso payload non possa essere riutilizzato dai difensori o da altri aggressori. Ciò limita la capacità dei difensori di eseguire il reverse engineering o di creare informazioni affidabili sulle minacce a partire da un campione catturato.

Limitazione dell'analisi forense

Poiché ogni payload è dotato di una chiave univoca e scade dopo il primo utilizzo, i difensori devono affrontare sfide significative nell'eseguire analisi statiche o dinamiche su campioni live, costringendoli a fare affidamento sul rilevamento comportamentale piuttosto che su metodi basati sulle firme.

Screenshot di BRC4 che mostra la funzione di autenticazione monouso
Screenshot di BRC4 che mostra la funzione di autenticazione monouso

Brute Ratel contro Cobalt Strike

Sebbene Brute Ratel e Cobalt Strike quasi la stessa gamma di funzionalità di sicurezza offensive (tra cui generazione di payload, capacità di comando e controllo e strumenti post-exploit), la loro architettura e i loro metodi di evasione differiscono in modo significativo.

Cobalt Strike, rilasciato per la prima volta nel 2012, è diventato lo standard di settore per le operazioni dei red team, ma originariamente non era stato progettato tenendo conto dei moderni EDR. Brute Ratel, rilasciato nel 2020, è stato appositamente progettato per eludere le attuali soluzioni EDR e antivirus.

Quando è stato introdotto per la prima volta, BRC4 era relativamente sconosciuto agli strumenti difensivi, consentendogli di aggirare la maggior parte dei prodotti di sicurezza. Oggi, la maggior parte dei fornitori di EDR si è adattata e ora include firme di rilevamento per le attività BRC4.

Come Vectra AI le operazioni Brute Ratel

Vectra AI i comportamenti BRC4 in ogni fase della catena di attacco analizzando le tattiche, le tecniche e le procedure degli aggressori mappate sul MITRE ATT&CK . Ciò include il rilevamento di comportamenti che vanno oltre malware o gli indicatori di compromissione noti (IOC).

Vectra AI sulle seguenti attività ad alto rischio che riflettono i comportamenti reali degli aggressori, indipendentemente dallo strumento specifico utilizzato, incluso Brute Ratel:

  • Anomalie dei privilegi: rileva utilizzi insoliti delle identità e aumenti dei privilegi.
  • Esecuzione remota sospetta: identifica il movimento laterale tramite SMB, WMI e manipolazione dei servizi.
  • Tunnel C2 nascosti: rileva i beacon nascosti che utilizzano HTTP/S, DNS o DoH.
  • Abuso delle credenziali: individua Kerberoasting l'impersonificazione dei token.
  • Esfiltrazione di dati e ransomware: rileva il furto di grandi quantità di dati e le attività di crittografia dei file.

Copertura del MITRE ATT&CK Vectra AI

Pronto a mettere alla prova le tue difese?

Il modo migliore per prepararsi agli attacchi che sfruttano strumenti come Brute Ratel è attraverso una valutazione della sicurezza offensiva. I nostri esperti simulano queste tecniche nel vostro ambiente, aiutandovi a convalidare le vostre difese e a migliorare le vostre capacità di rilevamento e risposta. Contattateci per programmare la vostra valutazione oggi stesso!

Domande frequenti