Artikel top billede

(Foto: JumpStory)

Når gode intentioner udnyttes: Red teaming-værktøj bliver nu misbrugt af it-kriminelle

Klumme: Et penetrationstest-værktøj bliver nu benyttet af it-kriminelle til at udsende ondsindede payloads. Det er bare endnu et bevis på, at red team-initiativer udnyttes af it-kriminelle.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Man kan heller ikke have noget for sig selv.

Vores ransomware-forskningsafdeling søger altid efter, hvordan it-kriminelle finder nye kreative måder, hvorpå malware kan omgå virksomheders it-sikkerhed.

Det skete tidligere på sommeren, hvor netop sådan et eksempel blev opdaget via VirusTotal, et website-tool, hvor en given software kan testes op imod alle markedets 56 antivirus- og end point protection and response-løsninger (EDR), og ingen af dem indikerede, at eksemplet var skadelig og ondsindet.

Ud over problematikken i, at den ikke blev opdaget som ondsindet, er eksemplet også mærkværdigt på grund af dens evner til at levere skadelige payloads og ”command and control”-software (C2).

Så hvad er eksemplet? Et red team-værktøj kaldet Brute Ratel C4 (BRc4) til at trykteste virksomheders it-sikkerhed.

Et stykke software, som en it-sikkerhedsspecialist i begyndelsen har udviklet som et sideprojekt, og som bruges af etiske hackere til at undersøge, om en virksomheds it-forsvarsværker rent faktisk kan modstå et angreb.

Det værktøj er nu beviseligt benyttet af it-kriminelle til at levere mal- og ransomware.

Den gode intention udnyttes

Red teaming er et begreb inden for etisk hackning, som går længere end blot tryktest:

Her er det en gruppe it-specialister eller etiske hackere, som giver alt hvad remme og tøj kan holde til, inden for en præ-aftalt ramme naturligvis, for at bryde igennem en virksomheds it-infrastruktur, fuldstændig som it-kriminelle ville gøre det og, under normale omstændigheder, uden at virksomhedens it-afdeling er bekendt med det.

Og det er her, at BRc4 benyttes.

Det er ikke et lige så kendt værktøj som Cobalt Strike, men lige så avanceret, og er skræmmende på grund af dets evner til at snige sig under antivirus’ og End-point-beskyttelsessoftwares radar.

Vi har allerede opdaget flere tilfælde, hvor BRc4 er benyttet til ondsindede tiltag.

Blandt andet har vi opdaget, at værktøjet er benyttet med et falsk Microsoft-certifikat via en AWS IP-adresse, så det ser troværdigt ud, og vi har registreret flere virksomheder og organisationer, som er ramt.

Vores rapport på hele angrebsmetoden og udnyttelsen af red team-værktøjet kan læses her for dem, som har lyst til at dykke ned i alt det tekniske bagved.

Har vi set det før?

Vi kan se, at metoden, hvorpå redskabet udnyttes, i høj grad minder om APT29-teknikker.

APT29 er en gruppering, som opererer i tæt samarbejde med den russiske efterretningstjeneste, SVR, og har siden 2008 ofte angrebet officielle organisationer og netværk i EU og NATO-lande.

Det var blandt andet APT29, som kompromitterede den demokratiske nationalkomite i USA tilbage i 2015 og lækkede fortrolige oplysninger.

APT29 var også en del af det globale SolarWinds-angreb i 2021, hvor også russiske Cozy Bear var med.

Her bliver det lidt teknisk og igen, den dybere tekniske forklaring kan indhentes via rapporten;

Det er ikke med garanti APT29, men som minimum benyttes de samme metoder ved at kombinere en ISO-fil med en Windows genvejsfil (LNK), en ondsindet DLL-fil og en ægte kopi af Microsoft OneDrive Updater.

Hvis man forsøger at eksekvere pakken, vil den ondsindede DLL-fil sprede sig via en metode kendt som DLL search order hijacking.

Så hvad nu?

End point- og antivirus-leverandører skal sikre, at netop BRc4 opdages – og vi kan kun opfordre it-sikkerhedsansvarlige til at læse op på metodikken bag BRc4 og lignende angreb, så man bliver bedre til både at spotte eventuelle angreb, men også eventuelle tegn på kompromittering.

Men mest af alt kan vi kun ærgre os over, at gode intentioner udnyttes af ondsindede personer.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.