【新武器】睇中低知名度 滲透測試工具Brute Ratel成黑客新歡
黑客為求避過網絡安全工具的偵測,近年喜歡使用滲透測試工具如 Cobalt Strike 等,安裝於目標企業的內部網絡,令各種惡意網絡活動如竊取機密資料、安裝勒索軟件等變得「合法」。Palo Alto Unit 42 安全專家近來便捕捉到有黑客轉用新工具 Brute Ratel,成功避過五十多種安全工具的攔截,企業的 IT 管理員不可不防。
早在去年中,網絡安全業界已發現愈來愈多黑客集團利用 Cobalt Strike 等合法工具執行惡意活動,他們首先會誘使目標企業的員工打開惡意檔案,或直接在黑市購買企業的外洩員工帳戶,然後在內部網絡偷偷安裝 Cobalt Strike 用於連結受感染電腦與 C&C 控制中心的 beacon,從而建立遙距訪問內部網絡的落腳點。專家指黑客集團之所以趨向採用合法工具的原因,在於它不會被網絡安全工具視為威脅,因此不會遭受攔截,早前有調查報告便指出,去年 66% 勒索軟件攻擊都被發現使用 Cobalt Strike 發動攻擊。
正因為 Cobalt Stirke 已成為黑客集團愛好工具,因此網絡安全服務供應商亦特別加強對它的偵測,大大削弱它的成功機率。而 Palo Alto Unit 42 安全專家近來便發現有黑客集團變招,以新的滲透測工具 Brute Ratel 取代。Brute Ratel 是一款 2020 年才推出的測試工具,它是由 Mandiant 及 CrowdStrike 的前紅隊員工開發,在一開始推出的時間,基本上沒有任何網絡安全工具可以偵測到它的惡意行為。雖然網絡安全公司已加強對它的防範,但專家指現時仍有 56 款反惡意軟件產品無法捕捉到它的惡意行為。
專家續指,現時要取得 Brute Ratel 的使用憑證,必須向開發商提供多項驗證資料,通過公司的人手審查才能購買,付出 2,500 美元使用年費。不過,相信這項審查本身亦存在漏洞,所以才讓黑客集團成功瞞騙開發商。現階段要防範黑客使用 Brute Ratel 攻擊可說頗為困難,專家建議企業應訂閱威脅情報服務,通過供應商搜集的最新數據,去提高本身所採用的網絡安全工具對其惡意活動的敏感度,才能提升受感染機率。
相關文章:【誰之過?】釣魚電郵新攻擊 全靠企業未堵塞Microsoft Exchange Server已知漏洞
https://www.wepro180.com/mes211126/
