Når gode intensjoner utnyttes
Red team-verktøy utnyttes nå av it-kriminelle. Et penetrasjonstestverktøy utnyttes for å distribuere ondsinnede «pay loads» uten at noen av markedets endepunkts-, brannmur- eller antivirusløsninger kan oppdage det. Nok et bevis på at red team-initiativ utnyttes, og derfor gjør it-sikkerheten ytterligere komplisert.
Enkelt forklart er «red team» en gruppe ansatte i et IT-sikkerhetsselskap som utfører et kontrollert angrep på en bedrift. Som oftest er det digitalt, men det kan også være et fysisk innbrudd. Målet er at det skal være så realistisk som mulig for å kartlegge hvordan ansatte, nettverk, systemer og fysisk adgangskontroll fungerer og responderer i en krisesituasjon.
Men hva når kriminelle utnytter verktøyene denne type grupper bruker for å sjekke sikkerheten? Palo Alto Networks sin avdeling Unit 42 oppdaget nylig via verktøyet VirusTotal hvordan denne type maskinvare kan testes opp mot markedets 56 antivirus- og endepunktsikkerhetsløsninger uten å bli identifisert som ondsinnet. Hvilket er skremmende med tanke på hvor enkelt dette muliggjør distribusjon av skadevare.
Eksempelet det henvises til er Brute Ratel C4. Kanskje ikke like kjent som Cobalt Strike, men like avansert og skremmende på grunn av dets evne til å snike seg under radaren. Et verktøy som i utgangspunktet er utviklet for å trykkteste en bedrifts eller organisasjons it-sikkerhet, brukes nå av kriminelle for å infisere med mal- og ransomware. Med andre ord brukes nå et verktøy utviklet for økt sikkerhet til det motsatte.
Unit 42 har oppdaget flere tilfeller hvor Brute Ratel C4 er brukt med onde hensikter. Blant annet er verktøyet brukt med et falskt Microsoft-sertifikat via en AWS IP-adresse for at det skal se troverdig ut, og vi har registrert flere virksomheter og organisasjoner som er infisert. Rapporten som beskriver hele angrepsmetoden og utnyttelse av red-team verktøyet er tilgjengelig her.
Med andre ord brukes nå et verktøy utviklet for økt sikkerhet til det motsatte.
For eksempel var det APT29 som angrep den demokratiske nasjonalkomiteen i 2015 for å lekke fortrolige opplysninger. I tillegg var de en del av det globale SolarWinds-angrepet i 2021, hvor også russiske Cozy Bear var med.
Nå skal det være sagt at det ikke finnes noen fellende bevis på at det er APT29 som står bak angrepene med Brute Ratel C4. Men det er interessant å se at det er samme metoder som benyttes i form av å kombinere en ISO-fil med en Windows LNK-fil, en ondsinnet DLL-fil og en ekte kopi av Microsoft OneDrive Updater. Når pakken eksekveres sprer den ondsinnede DLL-filen seg via en metode kjent som DLL search order hijacking.
Så hva nå? Leverandørene av løsninger for antiviurs og endepunktsikkerhet må, og skal, sikre at sikkerhetsutfordringer som BRc4 oppdages. Ikke minst oppfordrer vi alle sikkerhetsansvarlige der ute til å lese seg opp på metodikken og om lignende angrep for å oppdage dem før det er for sent.
