合法的红队模拟渗透工具BR被滥用，规避反病毒引擎实现逃逸

在最近的网络安全研究中观察到，黑客在攻击中开始滥用合法的网络安全攻防模拟软件，以此来规避病毒引擎的扫描实现逃逸。

Palo Alto安全研究人员表示，2022 年 5 月 19 日上传到 VirusTotal 数据库的恶意软件样本包含与 Brute Ratel C4 软件相关的有效载荷，这是一个相对较新的复杂工具包，旨在避免终端EDR的扫描和防病毒 (AV）的能力。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Brute Ratel 软件 (简称BRc4)是由印度安全研究员Chetan Nayak编写的，类似于 Cobalt Strike的，用于网络安全攻防研究的对手模拟软件。

Brute Ratel软件是商业软件，于2020年底首次发布，此后获得了 350 多个客户销售了 480 多个软件license。每个license的价格为每位用户首年 2500 美元，之后可以以 2250 美元的价格按年续期。

Brute Ratel软件配备了多种功能，例如进程注入、自动攻击TTP、捕获屏幕截图、上传和下载文件、支持多个命令和控制通道，以及保持内存工件对反病毒引擎隐藏的能力等等。

就像 Cobalt Strike 软件一样，Brute Ratel 还可以在受感染的主机上部署 Badgers ，这些主机可以驻留在攻击者控制器服务器上，以接收下一阶段的命令或接收泄露的数据。

此次安全研究中发现的样本是从斯里兰卡上传的，伪装成名为 Roshan Bandara 的个人简历，但实际上是一个ISO映像文件，双击后将其安装为 Windows 驱动器，其中包含看似无害的 Word 文档，该word文档在启动时会在用户计算机上安装 BRc4 并与远程服务器建立通信。

网络安全研究人员指出，他们还发现了一天后从乌克兰上传到 VirusTotal 的第二个样本，该样本的代码与负责在内存中加载 BRc4 的模块的代码重叠。此后，调查又发现了 7 个可追溯到 2021 年 2 月的 BRc4 样本。

通过检查用作隐蔽通道的C2命令和控制服务器，已经确定了许多潜在的受害者。其中包括一家北美和南美的 IP 电视提供商，以及一家墨西哥的主要纺织品制造商等。