Bedrohungs-Briefing: Wie Angreifer Brute Ratel (BRC4) nutzen >‍

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Briefings zu Bedrohungen

Wie Angreifer Brute Ratel (BRC4) verwenden

Mai 14, 2025
Lucie Cardiet
Leiter Produktmarketing
Wie Angreifer Brute Ratel (BRC4) verwenden

Sicherheitsteams sehen sich mit einer neuen Generation von Angriffswerkzeugen konfrontiert, und Brute Ratel C4 (BRC4) steht an der Spitze dieser Entwicklung. Ursprünglich für legitime Red-Team-Übungen und Sicherheitstests entwickelt, wurde BRC4 dank seiner leistungsstarken Umgehungs- und Angriffsautomatisierungsfunktionen schnell zu einem beliebten Tool für Angreifer in der realen Welt. Hier ist, was Sie wissen müssen.

Was ist Brute Ratel?

Brute Ratel ist ein von Chetan Nayak entwickeltes Post-Exploitation- und Command-and-Control-Framework (C2), mit dem fortgeschrittene Angreiferverhaltensweisen simuliert werden können. Seine Fähigkeiten umfassen:

  1. Tarnung und Umgehung: Äußerst resistent gegen die Erkennung durch EDR-Tools durch Entfernung von Userland-Hooks, Speicherverschlüsselung und Schlafmaskierung.
  2. Benutzerdefinierte Nutzdatengenerierung: Unterstützt EXE-, DLL- und Shellcode-Payloads mit flexiblem Beaconing über HTTP/S, DNS, SMB und DoH.
  3. Robuste Agentenverwaltung: Verwendet "Badgers" als Agenten für die Ausführung von Angreiferbefehlen.
  4. Dateilose Operationen: Arbeitet vollständig im Arbeitsspeicher und hinterlässt nur minimale forensische Spuren.
  5. Hochgradig anpassbare Angriffsprofile: Unterstützt einzigartige, anpassbare Profile, um die Kommunikation als legitimen Datenverkehr zu tarnen.

Wie Bedrohungsakteure Brute Ratel missbrauchen

1. Konfiguration der Hörer und der verformbaren Profile

Angreifer konfigurieren BRC4 für die Kommunikation über HTTP/S mit verschiedenen Verschleierungs- und Umgehungstechniken, die darauf ausgelegt sind, perimeter- und netzwerkbasierte Erkennungen zu umgehen: Rotierende Domänen und IPs Betreiber richten mehrere Domänennamen oder IP-Adressen ein, die im Laufe der Zeit rotieren oder sich ändern, um statische Zulassungs-/Blockierlisten und Bedrohungsinformationen zu umgehen.

Kundenspezifische verformbare Profile

Angreifer erstellen JSON-formatierte Anfragen und Antworten, die den legitimen Webverkehr imitieren und die bösartige Kommunikation mit dem normalen Netzwerkrauschen verschmelzen lassen.

Benutzerdefinierte HTTP-Header

Die Betreiber definieren ihre eigenen HTTP-Header, wie z. B. die Nachahmung von Content-Type-Headern wie application/json, um den bösartigen Datenverkehr wie eine reguläre API- oder Webdienstkommunikation aussehen zu lassen.

Mehrere URI-Pfade

BRC4 erlaubt die Verwendung von randomisierten oder vordefinierten URL-Pfaden, die wie gewöhnliche Web-Ressourcen aussehen (z. B. /api/v1/data), was die Wahrscheinlichkeit erhöht, dass signaturbasierte Erkennungen umgangen werden.

Fallback-Kommunikationsmethoden

Wenn ein Kommunikationskanal blockiert ist, können Angreifer die Nutzdaten neu konfigurieren, um auf alternative Domänen oder C2-Server auszuweichen, ohne das Ziel erneut zu infizieren.

Screenshot der Brute-Ratel-Schnittstelle, der die Einrichtung des HTTP-Listeners zeigt
Screenshot der Brute-Ratel-Schnittstelle, der die Einrichtung des HTTP-Listeners zeigt

2. EDR-Umgehung

Angreifer nutzen mehrere fortschrittliche Umgehungsfunktionen in BRC4, um die Laufzeitsicherheitsmechanismen zu umgehen und eine Entdeckung zu vermeiden:

Userland abhaken

BRC4 zielt auf API-Hooks im Benutzermodus ab, die von EDR- und Antiviren-Lösungen platziert werden. Durch das Entfernen dieser Hooks aus wichtigen Windows-APIs wird die Fähigkeit der Sicherheitssoftware ausgeschaltet, bösartiges Verhalten zu untersuchen oder zu blockieren, ohne Warnmeldungen auszulösen.

Schlafmaskierung

Während des Leerlaufs verschlüsselt und verbirgt BRC4 seine speicherinternen Bereiche, so dass es für Speicherscanner oder EDRs schwierig ist, statische oder ruhende Nutzdaten zu erkennen. Dies ist besonders effektiv gegen Lösungen, die lang laufende Prozesse auf anomales Verhalten überwachen.

Indirekte Syscalls

Anstatt Windows-APIs direkt aufzurufen - wo Sicherheitstools häufig die Ausführung überwachen - verwendet BRC4 indirekte Syscalls, um den Aufrufpfad zu verschleiern, was es Sicherheitslösungen erschwert, bösartiges Verhalten zu verfolgen und zu erkennen.

Stack- und Thread-Spoofing

BRC4 manipuliert den Ausführungskontext seiner laufenden Threads, indem es Stack-Frames und Thread-Startadressen fälscht. Dadurch werden Analysetools und Debugger dazu gebracht, bösartige Aktivitäten falsch zu interpretieren oder zu übersehen, so dass Angreifer sowohl die manuelle als auch die automatische Analyse umgehen können.

Screenshot zum Vergleich von BRC4- und Cobalt Strike
Screenshot zum Vergleich von BRC4- und Cobalt Strike

3. Diebstahl von Ausweisen und Quereinstieg

Angreifer nutzen BRC4, um den Diebstahl von Zugangsdaten und laterale Bewegungen mit Präzision und Heimlichkeit durchzuführen:

Kerberoasting

BRC4 automatisiert die Aufzählung von Service Principal Names (SPNs) in Active Directory-Umgebungen und ermöglicht es Angreifern, Kerberos-Tickets (TGS-Tickets) zu extrahieren. Diese Tickets können dann offline geknackt werden, um Dienstkontopasswörter im Klartext zu offenbaren, was einen erweiterten Zugriff auf sensible Systeme und Dienste ermöglicht.

Diebstahl von Sitzungs-Token

BRC4 ermöglicht es Angreifern, Authentifizierungs-Token von aktiven Benutzersitzungen zu erfassen und zu speichern. Durch die Wiederverwendung dieser Token können sich Angreifer als privilegierte Benutzer, wie z. B. Domänenadministratoren, ausgeben, ohne deren tatsächliche Passwörter zu kennen, was eine nahtlose Eskalation der Privilegien ermöglicht.

Unauffällige seitliche Bewegung

BRC4 bietet mehrere seitliche Bewegungstechniken:

  • SC divert: Ändert bestehende Dienste auf Remote-Hosts, um vom Angreifer kontrollierte Nutzdaten auszuführen, ohne neue Dienste zu erstellen, und verringert so das Entdeckungsrisiko.
  • SMB-Ausführung: Führt Befehle auf entfernten Systemen über SMB-Protokolle aus und nutzt dabei vorhandene administrative Freigaben.
  • PSExec-ähnliche Ausführung: Stellt Nutzlasten aus der Ferne mit Techniken bereit, die dem Microsoft-Tool PSExec ähneln, ohne auf zusätzliche Binärdateien angewiesen zu sein.
  • WMI-Ausführung: Führt Befehle auf entfernten Systemen über Windows Management Instrumentation (WMI) aus und vermeidet so die Notwendigkeit, ausführbare Dateien auf der Festplatte abzulegen.
Screenshot der BRC4-Schnittstelle mit Nutzlastprofiler
Screenshot der BRC4-Schnittstelle mit Nutzlastprofiler

4. Prozessinjektion und Speichertechniken

BRC4 ermöglicht es Angreifern, bösartigen Code heimlich und ausweichend auszuführen, indem sie fortschrittliche Techniken zur Prozess- und Speichermanipulation nutzen:

Shellcode-Injektion in vertrauenswürdige Prozesse

BRC4 kann rohen Shellcode direkt in den Speicher legitimer System- oder Benutzerprozesse injizieren, so dass vom Angreifer kontrollierter Code unter dem Deckmantel vertrauenswürdiger Anwendungen wie explorer.exe oder svchost.exe ausgeführt werden kann, was die Erkennung durch Sicherheitstools erheblich erschwert.

Reflektierendes DLL-Laden für die verdeckte Ausführung

Angreifer verwenden Reflective DLL Injection, um bösartige DLLs in den Speicher zu laden, ohne sie auf die Festplatte zu schreiben. Dies minimiert forensische Artefakte und ermöglicht die Ausführung von Nutzdaten im Speicher, wodurch dateibasierte Erkennungsmechanismen umgangen werden.

Inline-C#-Ausführung ohne Berührung der Festplatte

BRC4 ermöglicht die Ausführung von C#-Nutzdaten vollständig im Speicher unter Verwendung von reflektierenden oder Inline-Ausführungsmethoden. Dadurch können Angreifer .NET-basierte Tools und Skripte, wie z. B. Credential Harvester oder Aufklärungsprogramme, ausführen, ohne ausführbare Dateien auf die Festplatte zu schreiben, was die Wahrscheinlichkeit einer Entdeckung verringert.

Screenshot der Prozessinjektionsfunktion von BRC4
Screenshot der Prozessinjektionsfunktion von BRC4

5. Vermeidung einer wiederholten Aufdeckung

Angreifer verringern ihre Angreifbarkeit, indem sie es Verteidigern erschweren, ihre Nutzdaten zu erfassen, wiederzugeben oder zu analysieren:

Einmalige Authentifizierungsschlüssel

BRC4 bettet eindeutige, einmalig verwendbare Authentifizierungsschlüssel in jede Nutzlast ein. Sobald eine Nutzlast ausgeführt wird und eine Verbindung zurück zum Command-and-Control-Server des Angreifers hergestellt wird, wird der Schlüssel ungültig. Dies verhindert, dass Angreifer die Nutzdaten erfassen und in Sandbox-Umgebungen zur Analyse wiederholen oder auf der Grundlage wiederholter Ausführungen Erkennungssignaturen erstellen können.

Verhinderung der Wiederverwendung von Nutzdaten

Durch das Ungültigmachen verwendeter Authentifizierungsschlüssel stellt BRC4 sicher, dass dieselbe Nutzlast nicht erneut von Verteidigern oder anderen Angreifern verwendet werden kann. Dies schränkt die Möglichkeiten von Verteidigern ein, Reverse Engineering durchzuführen oder zuverlässige Bedrohungsdaten aus einer erbeuteten Probe zu erstellen.

Einschränkung der forensischen Analyse

Da jede Nutzlast mit einem eindeutigen Schlüssel versehen ist und nach der ersten Verwendung abläuft, stehen Verteidiger vor großen Herausforderungen bei der Durchführung statischer oder dynamischer Analysen von Live-Samples, so dass sie gezwungen sind, sich eher auf Verhaltenserkennung als auf signaturbasierte Methoden zu verlassen.

Screenshot von BRC4 mit der Funktion der einmaligen Authentifizierung
Screenshot von BRC4 mit der Funktion der einmaligen Authentifizierung

Brute Ratel vs. Cobalt Strike

Während Brute Ratel und Cobalt Strike fast die gleiche Bandbreite an offensiven Sicherheitsfunktionen bieten - einschließlich der Generierung von Nutzlasten, Befehls- und Kontrollfunktionen und Tools für die Nachnutzung - unterscheiden sich ihre Architektur und Umgehungsmethoden erheblich.

Cobalt Strike, erstmals 2012 veröffentlicht, wurde zum Industriestandard für Red-Team-Operationen, war aber ursprünglich nicht für moderne EDRs konzipiert. Brute Ratel, das 2020 veröffentlicht wurde, wurde speziell entwickelt, um moderne EDR- und Antivirenlösungen zu umgehen.

Als BRC4 zum ersten Mal eingeführt wurde, war es den Verteidigungswerkzeugen relativ unbekannt, so dass es die meisten Sicherheitsprodukte umgehen konnte. Heute haben sich die meisten EDR-Anbieter darauf eingestellt und enthalten nun Erkennungssignaturen für BRC4-Aktivitäten.

Wie Vectra AI Brute-Ratel-Operationen erkennt

Vectra AI erkennt BRC4-Verhaltensweisen in jeder Phase der Angriffskette durch die Analyse von Angreifertaktiken, -techniken und -verfahren, die dem MITRE ATT&CK zugeordnet sind. Dazu gehört auch die Erkennung von Verhaltensweisen, die über malware oder bekannte Kompromittierungsindikatoren (IOCs) hinausgehen.

Vectra AI konzentriert sich auf die folgenden risikoreichen Aktivitäten, die reale Angreiferverhaltensweisen widerspiegeln, unabhängig vom verwendeten Tool, einschließlich Brute Ratel:

  • Privilegien-Anomalien: Entdeckt ungewöhnliche Identitätsnutzung und Privilegienerweiterungen.
  • Verdächtige Remote-Ausführung: Identifiziert seitliche Bewegungen über SMB, WMI und Dienstmanipulation.
  • Versteckte C2-Tunnel: Entdeckt das verdeckte Beaconing über HTTP/S, DNS oder DoH.
  • Missbrauch von Zugangsdaten: Spots Kerberoasting und Token-Impersonation.
  • Datenexfiltration und ransomware: Erkennt massenhaften Datendiebstahl und Dateiverschlüsselungsaktivitäten.

Vectra AI's Abdeckung des MITRE ATT&CK Framework

Sind Sie bereit, Ihre Abwehrkräfte zu testen?

Der beste Weg, sich auf Angriffe vorzubereiten, die Tools wie Brute Ratel nutzen, ist eine offensive Sicherheitsbewertung. Unsere Experten simulieren diese Techniken in Ihrer Umgebung und helfen Ihnen, Ihre Verteidigungsmaßnahmen zu validieren und Ihre Erkennungs- und Reaktionsmöglichkeiten zu verbessern. Kontaktieren Sie uns und vereinbaren Sie noch heute einen Termin für Ihre Bewertung!

Häufig gestellte Fragen