Come gli aggressori utilizzano Brute Ratel (BRC4)

14 maggio 2025

Come gli aggressori utilizzano Brute Ratel (BRC4)

I team di sicurezza si trovano di fronte a una nuova generazione di strumenti offensivi e Brute Ratel C4 (BRC4) è in testa alla classifica. Originariamente sviluppato per esercitazioni legittime di red team e test di sicurezza, le potenti funzionalità di evasione e automazione degli attacchi di BRC4 lo hanno rapidamente reso uno degli strumenti preferiti dagli aggressori del mondo reale. Ecco cosa c'è da sapere.

Che cos'è il Brute Ratel?

Brute Ratel è un framework di post-exploitation e command-and-control (C2), creato da Chetan Nayak, utilizzato per simulare comportamenti avanzati degli aggressori. Le sue capacità includono:

Furtività ed evasione: Altamente resistente al rilevamento da parte degli strumenti EDR grazie alla rimozione degli hook in userland, alla crittografia della memoria e al mascheramento del sonno.
Generazione di payload personalizzati: Supporta payload EXE, DLL e shellcode con beaconing flessibile tramite HTTP/S, DNS, SMB e DoH.
Gestione robusta degli agenti: Utilizza i "Badgers" come agenti per l'esecuzione dei comandi degli aggressori.
Operazioni senza file: Funziona completamente in memoria, lasciando tracce forensi minime.
Profili di attacco altamente personalizzabili: Supporta profili unici malleabili per mascherare le comunicazioni come traffico legittimo.

Come gli attori delle minacce abusano di Brute Ratel

1. Configurazione dell'ascoltatore e del profilo malleabile

Gli aggressori configurano BRC4 per comunicare su HTTP/S con diverse tecniche di offuscamento ed evasione progettate per aggirare i rilevamenti perimetrali e di rete: Domini e IP a rotazione Gli operatori impostano più nomi di dominio o indirizzi IP che ruotano o cambiano nel tempo, aiutando a eludere gli elenchi statici di permessi/blocco e i feed di informazioni sulle minacce.

Profili malleabili personalizzati

Gli aggressori creano richieste e risposte in formato JSON che simulano il traffico web legittimo, facendo sì che la comunicazione dannosa si confonda con il normale rumore di rete.

Intestazioni HTTP personalizzate

Gli operatori definiscono le proprie intestazioni HTTP, ad esempio imitando intestazioni di tipo contenuto come application/json, per far apparire il traffico dannoso come una normale comunicazione API o di servizio Web.

Percorsi URI multipli

BRC4 consente l'uso di percorsi URL randomizzati o predefiniti che assomigliano a risorse web comuni (ad esempio, /api/v1/data), aumentando la possibilità di aggirare i rilevamenti basati sulle firme.

Metodi di comunicazione di riserva

Se un canale di comunicazione è bloccato, gli aggressori possono riconfigurare i payload per effettuare il failover su domini o server C2 alternativi senza reinfettare l'obiettivo.

*Schermata dell'interfaccia di Brute Ratel che mostra l'impostazione dell'ascoltatore HTTP*

2. Elusione dell'EDR

Gli aggressori sfruttano diverse funzioni di evasione avanzate di BRC4 per aggirare i meccanismi di sicurezza del runtime ed evitare il rilevamento:

Sgancio di Userland

BRC4 mira ai ganci API in modalità utente posizionati dalle soluzioni EDR e antivirus. Rimuovendo questi ganci dalle API chiave di Windows, disabilita la capacità del software di sicurezza di ispezionare o bloccare il comportamento dannoso senza generare avvisi.

Mascheramento del sonno

Durante i periodi di inattività, BRC4 cripta e nasconde le sue regioni in memoria, rendendo difficile per gli scanner di memoria o gli EDR rilevare payload statici o inattivi. Ciò è particolarmente efficace contro le soluzioni che monitorano i processi in esecuzione da tempo per rilevare comportamenti anomali.

Chiamate di sistema indirette

Invece di chiamare direttamente le API di Windows - dove gli strumenti di sicurezza spesso monitorano l'esecuzione -RC4 utilizza chiamate di sistema indirette per oscurare il percorso della chiamata, rendendo più difficile per le soluzioni di sicurezza tracciare e segnalare il comportamento dannoso.

Stack e thread spoofing

BRC4 manipola il contesto di esecuzione dei suoi thread in esecuzione falsificando gli stack frame e gli indirizzi di avvio dei thread. Questo inganna gli strumenti di analisi e i debugger, inducendoli a interpretare in modo errato o a trascurare l'attività dannosa, consentendo agli aggressori di eludere le analisi manuali e automatizzate.

*Schermata di confronto tra le filettature di BRC4 e Cobalt Strike*

3. Furto di credenziali e spostamenti laterali

Gli aggressori utilizzano BRC4 per eseguire operazioni di furto di credenziali e movimento laterale con precisione e furtività:

Attacchi di Kerberoasting

BRC4 automatizza l'enumerazione dei nomi dei principali servizi (SPN) all'interno degli ambienti Active Directory, consentendo agli aggressori di estrarre i ticket di servizio Kerberos (TGS). Questi ticket possono essere decifrati offline per rivelare le password degli account di servizio in chiaro, fornendo un accesso elevato a sistemi e servizi sensibili.

Furto di token di sessione

BRC4 consente agli aggressori di catturare e memorizzare i token di autenticazione dalle sessioni utente attive. Riutilizzando questi token, gli aggressori possono impersonare utenti privilegiati, come gli amministratori di dominio, senza dover conoscere le loro password reali, consentendo un'escalation di privilegi senza soluzione di continuità.

Movimento laterale furtivo

Il BRC4 offre molteplici tecniche di movimento laterale:

SC divert: Modifica i servizi esistenti sugli host remoti per eseguire payload controllati dagli aggressori senza creare nuovi servizi, riducendo il rischio di rilevamento.
Esecuzione SMB: Esegue comandi su sistemi remoti utilizzando i protocolli SMB, sfruttando le condivisioni amministrative esistenti.
Esecuzione simile a PSExec: Distribuisce payload in remoto utilizzando tecniche simili allo strumento PSExec di Microsoft, senza ricorrere a binari aggiuntivi.
Esecuzione WMI: Esegue comandi su sistemi remoti tramite Windows Management Instrumentation (WMI), evitando di scaricare gli eseguibili su disco.

*Schermata dell'interfaccia BRC4 che mostra il profilatore del carico utile*

4. Iniezione di processo e tecniche di memoria

BRC4 consente agli aggressori di eseguire codice dannoso in modo furtivo ed evasivo sfruttando tecniche avanzate di manipolazione dei processi e della memoria:

Iniezione di shellcode in processi affidabili

BRC4 può iniettare shellcode grezzo direttamente nella memoria di processi legittimi del sistema o dell'utente, consentendo l'esecuzione di codice controllato dall'aggressore sotto le sembianze di applicazioni affidabili come explorer.exe o svchost.exe, rendendo molto più difficile il rilevamento da parte degli strumenti di sicurezza.

Caricamento riflessivo delle DLL per un'esecuzione non invasiva

Gli aggressori utilizzano la reflective DLL injection per caricare DLL dannose in memoria senza mai scriverle su disco. Questo riduce al minimo gli artefatti forensi e consente ai payload di essere eseguiti in memoria, eludendo i meccanismi di rilevamento basati su file.

Esecuzione in linea di C# senza toccare il disco

BRC4 consente l'esecuzione di payload C# interamente in memoria utilizzando metodi di esecuzione riflessivi o in linea. Ciò consente agli aggressori di eseguire strumenti e script basati su .NET, come ad esempio gli harvester di credenziali o le utility di ricognizione, senza scrivere gli eseguibili su disco, riducendo la probabilità di rilevamento.

*Schermata della capacità di iniezione di processo di BRC4*

5. Evitare il rilevamento ripetuto

Gli attaccanti riducono l'esposizione rendendo più difficile per i difensori catturare, riprodurre o analizzare i loro payload:

Chiavi di autenticazione una tantum

BRC4 incorpora chiavi di autenticazione uniche e monouso in ogni payload. Una volta che il payload viene eseguito e si connette al server di comando e controllo dell'aggressore, la chiave viene invalidata. Questo impedisce ai difensori di catturare il payload e riprodurlo in ambienti sandbox per l'analisi o per generare firme di rilevamento basate su esecuzioni ripetute.

Impedire il riutilizzo del payload

Invalidando le chiavi di autenticazione utilizzate, BRC4 garantisce che lo stesso payload non possa essere utilizzato nuovamente dai difensori o da altri aggressori. Ciò limita la capacità dei difensori di eseguire il reverse engineering o di creare informazioni affidabili sulle minacce da un campione catturato.

Limitare l'analisi forense

Poiché ogni payload è codificato in modo univoco e scade dopo il primo utilizzo, i difensori devono affrontare sfide significative per condurre analisi statiche o dinamiche su campioni live, costringendoli ad affidarsi al rilevamento comportamentale piuttosto che a metodi basati sulle firme.

*Schermata di BRC4 che mostra la funzione di autenticazione una tantum*

Bruto Ratel vs. Cobalt Strike

Sebbene Brute Ratel e Cobalt Strike offrano quasi la stessa gamma di funzionalità di sicurezza offensive, tra cui la generazione di payload, le capacità di comando e controllo e gli strumenti di post-esplorazione, la loro architettura e i loro metodi di elusione differiscono in modo significativo.

Cobalt Strike, rilasciato per la prima volta nel 2012, è diventato lo standard del settore per le operazioni dei team rossi, ma non è stato originariamente progettato tenendo conto dei moderni EDR. Brute Ratel, rilasciato nel 2020, è stato costruito appositamente per eludere le soluzioni EDR e antivirus contemporanee.

Quando è stato introdotto per la prima volta, BRC4 era relativamente sconosciuto agli strumenti di difesa, consentendo di aggirare la maggior parte dei prodotti di sicurezza. Oggi, la maggior parte dei fornitori di EDR si è adattata e include firme di rilevamento per le attività BRC4.

Come Vectra AI rileva le operazioni Brute Ratel

Vectra AI rileva i comportamenti BRC4 in ogni fase della catena di attacco analizzando le tattiche, le tecniche e le procedure degli aggressori mappate nel quadro MITRE ATT&CK . Ciò include il rilevamento di comportamenti che vanno oltre le firme malware o gli indicatori di compromissione noti (IOC).

Vectra AI si concentra sulle seguenti attività ad alto rischio che riflettono i comportamenti reali degli aggressori, indipendentemente dallo strumento specifico utilizzato, compreso il Brute Ratel:

Anomalie dei privilegi: Rileva l'utilizzo insolito delle identità e le escalation di privilegi.
Esecuzione remota sospetta: Identifica gli spostamenti laterali tramite SMB, WMI e la manipolazione dei servizi.
Tunnel C2 nascosti: Scopre il beaconing nascosto utilizzando HTTP/S, DNS o DoH.
Abuso di credenziali: Individua Kerberoasting e token impersonation.
Esfiltrazione di dati e ransomware: Rileva il furto di dati in massa e l'attività di crittografia dei file.

La copertura di Vectra AIdel framework MITRE ATT&CK

Siete pronti a testare le vostre difese?

Il modo migliore per prepararsi agli attacchi che sfruttano strumenti come Brute Ratel è una valutazione della sicurezza offensiva. I nostri esperti simulano queste tecniche nel vostro ambiente, aiutandovi a convalidare le vostre difese e a migliorare le vostre capacità di rilevamento e risposta. Contattateci per programmare la vostra valutazione oggi stesso!

Volete saperne di più?

Vectra AI è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidato dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci