Vielen ist Cobalt Strike mittlerweile ein Begriff. Sei es, weil mal wieder eine Ransomware-Gruppe damit ganze Unternehmen lahmgelegt hat oder weil Akteure gezielt Unternehmen angegriffen haben und in der anschließenden Analyse festgestellt wurde, dass Cobalt Strike im Einsatz war. Der ein oder andere hat vielleicht auch mitbekommen, dass ein anderes Tool namens Brute Ratel in letzter Zeit Wellen geschlagen hat. Doch warum ist das so?

Was sind Command&Control-Frameworks?

Bevor wir auf die Einzelheiten und Unterschiede eingehen, sollte zumindest grundlegend geklärt werden, was der allgemeine Einsatzzweck von Tools wie Cobalt Strike oder Brute Ratel ist. Beide Tools sind sogenannte Command&Control-Frameworks. Command&Control-Frameworks werden von Penetrationstestern und Red Teamern verwendet, um möglichst realistisch „echte“ Malware zu simulieren (wobei sie darin so gut sind, dass sie in den Händen von echten Angreifern natürlich als Malware angesehen werden müssen). Zusätzlich liefern sie alle benötigten Werkzeuge mit, um sich in einem Netzwerk umzusehen, auszubreiten und einzunisten.

Hierzu gibt es zwei essentielle Komponenten:

  • Die Beacon: der „Virus“, der auf dem Opfersystem ausgeführt wird
  • Der Teamserver: das System, zu dem sich die Beacons verbinden und von dem aus die Penetrationstester steuern, was auf den Opfersystemen passiert.

Damit die Kommunikation zwischen der Beacon und dem Teamserver nicht auffällt, kann der Netzwerkverkehr normalerweise dahingehend angepasst werden, dass sie im tagtäglichen Surfverhalten der Nutzer nicht so leicht entdeckt wird. So kann zum Beispiel der Datenverkehr aussehen, als würde ein Nutzer google.com besuchen oder einen Videocall per Teams machen.

Vorteile von Brute Ratel

Da Cobalt Strike auch in illegalen Kreisen sehr beliebt ist (und es vergleichsweise einfach ist, illegal an eine unlizenzierte Version zu kommen), dürfte es mittlerweile eines der am besten verstandenen und analysierten Sicherheitstools überhaupt sein. Zusätzlich haben sich auch die Verteidiger weiterentwickelt und es haben sich einige neue Techniken zur Erkennung von Malware herauskristallisiert, worauf Angreifer auf technischer Ebene wenig Umgehungsmöglichkeiten haben. An dieser Stelle setzt Brute Ratel an: Der Entwickler verspricht, dass sobald Brute Ratel unentdeckt in den Arbeitsspeicher geladen wurde, es unentdeckt bleibt – selbst gegen sehr fortgeschrittene (und kostspielige) Schutzmaßnahmen. Zusätzlich besitzt Brute Ratel Features, die das Leben des gespielten Angreifers vereinfachen:

  1. So kann ich die oben angesprochene Kommunikation zum Teamserver austauschen und verändern. Wenn ich als Angreifer die Vermutung habe, dass mir jemand auf die Schliche gekommen sein könnte, kann ich verändern, wie mein „Virus“ sich zum Teamserver zurückmeldet. Ich kann einem Verteidiger sozusagen seine Indizien, dass etwas faul ist, im laufenden Betrieb wegnehmen.
  2. Zusätzlich kann ich die Art und Weise, wie sich der „Virus“ im Arbeitsspeicher vor Antivirensoftware versteckt, in Echtzeit ändern. Hierzu werden drei Techniken von Brute Ratel angeboten, die alle ihre jeweiligen Vor- und Nachteile haben (Eine technische Erklärung würde allerdings den Rahmen dieses Blogeintrags sprengen. Für technisch versierte Leser empfehle ich den offiziellen Brute Ratel Blog). Auch hierdurch kann ich als Angreifer einige Indizien verwischen, wenn ich die Vermutung habe, dass mir jemand auf die Schliche gekommen sein könnte.
  3. Ich kann die zugrundeliegenden Techniken, die zum Ausführen weiterer Befehle benötigt werden, in Echtzeit anpassen. Hierzu zählen unter anderem, wie Dateien erstellt oder neue Prozesse erstellt werden.
  4. Ich habe alle Werkzeuge und den nötigen Baukasten gegeben, um die unterschiedlichsten Techniken von echten Akteuren automatisiert durchzuführen und somit die Verteidigung gegen real agierende Cyber-Gruppen zu testen.

Bei Cobalt Strike hingegen gibt es dazu nur die Möglichkeit, das Verhalten einmal statisch zu definieren. Ich kann als Angreifer mit Brute Ratel also viel dynamischer auf die jeweiligen Situationen reagieren.

Und was hat es mit diesen Kernel-Events auf sich?

All diese Punkte reichen jedoch häufig aus der Sicht eines Angreifers nicht, um an neuartigen Schutzmaßnahmen vorbeizukommen, die auf Event Tracing for Windows (ETW) setzen. ETW ist generell erstmal nur eine Komponente des Betriebssystems, um Telemetriedaten zu sammeln. In diesen Telemetriedaten verstecken sich jedoch wertvolle Informationen, die auf maliziöses Verhalten von Software hinweisen können. Ein Antivirenprogramm kann besagte Telemetriedaten vom Betriebssystem anfordern, auswerten und basierend auf diesen Daten Aktionen starten. Ich als Angreifer bzw. Malware kann in diesen Prozess nicht eingreifen, da ich keinen Zugriff auf das Betriebssystem habe. Die einzige Möglichkeit, um hier nicht erkannt zu werden ist, seine Telemetrie legitim aussehen zu lassen, obwohl Schadcode ausgeführt wird. Und hier kommt mit eine der größten Stärken von Brute Ratel zum Tragen: Die mitgelieferten Module bieten diese Funktionalität von sich aus an bzw. wurden so konzipiert, dass sie im normalen Strom an Telemetriedaten nicht auffallen.

Das sind natürlich nicht alle Features, die Brute Ratel liefert. Eine vollständige Liste lässt sich auf der Entwicklerseite einsehen.

Und jetzt?

Heißt das etwa für mich, dass ich schutzlos bin? Nein! Denn auch hier gilt: „Ein Tool ist nur so gut wie seine Anwender“. Um zu wissen, wann welche Kniffe und welche Techniken unentdeckt bleiben, ist langjährige Erfahrung gefordert. All diese fortgeschrittenen Techniken sind nicht zielführend wenn bereits die vorherigen Schritte entdeckt wurden. Genauso kann auch ein Brute Ratel bei der Ausbreitung im Netzwerk entdeckt werden wenn Angreifer unvorsichtig vorgehen.

In unseren Purple und Red-Teamings können wir Angreifer unterschiedlicher Qualität simulieren und gezielt mit Ihren Mitarbeitern Schutzmaßnahmen gegen jede Art von Angreifer entwickeln. Bei Interesse wenden Sie sich gerne an info@nsideattacklogic.de. Natürlich können wir individuell auf Wünsche eingehen und auf Brute Ratel, Cobalt Strike oder andere Command&Control-Frameworks zurückgreifen. Wir freuen uns auf Ihre Kontaktaufnahme!