最初用于网络安全目的的危险利用后工具包现已被破解并泄露给黑客社区。
该工具包正在许多不同的网站上共享,由于它可能落入各种威胁参与者的手中,因此潜在的影响可能是巨大的。
这可能很糟糕。有问题的后开发工具包名为 Brute Ratel C4,最初由 Chetan Nayak 创建。 Nayak 是一名前红队队员,这意味着他的工作包括试图破坏特定网络的安全性,而蓝队成员正在积极捍卫该网络。之后,两个团队讨论了进展情况以及是否存在一些需要改进的安全漏洞。
Brute Ratel正是为此目的而创建的。它是为“红队”使用而设计的,其最终目的是能够在受感染的网络上远程执行命令。然后,这将使攻击者以更简单的方式访问网络的其余部分。
Cobalt Strike 被视为与 Brute Ratel 类似的工具,并且该工具已被勒索软件团伙严重滥用,这就是为什么它相当容易检测的原因。到目前为止,Brute Ratel 还没有得到广泛的传播,它有一个许可验证系统,主要是阻止黑客。 Nayak 能够撤销任何被发现是假冒或滥用该工具的公司的许可证。
不幸的是,这已经成为过去,因为该工具的破解版开始流传。它首先以未破解状态上传到 VirusTotal,但一个名为 Molecules 的俄罗斯组织能够破解它并完全取消它的许可要求。这意味着现在,任何潜在的黑客只要知道去哪里就可以得到它。
网络威胁情报研究员 Will Thomas 发表了一份关于该工具破解版的报告。它已经传播到许多英语和俄语社区,包括 CryptBB、RAMP、BreachForums、Exploit[.]in、Xss[.]is 以及 Telegram 和 Discord 组。
托马斯在报告中说:“现在在多个人口最多的网络犯罪论坛上有多个帖子,数据经纪人、恶意软件开发人员、初始访问经纪人和勒索软件附属机构都在这些论坛上闲逛。”在与Bleeping Computer的对话中,Thomas 表示该工具可以工作并且不再需要许可证密钥。
Thomas 解释了这项技术的潜在危险,他说:“对于许多安全专家来说,BRC4 工具最令人担忧的一个方面是它能够生成许多 EDR 和 AV 产品无法检测到的 shellcode。这种扩展的检测规避窗口可以为威胁参与者提供足够的时间来建立初始访问权限、开始横向移动并在其他地方实现持久性。”
知道这个强大的工具就在那里,掌握在本不应该访问它的黑客手中,这绝对是可怕的。让我们希望防病毒软件开发人员能够尽快加强对 Brute Ratel 的防御。