【重磅】BRC4 后渗透工具集首次泄露，附地址！

luozhenni

​
【重磅】BRC4 后渗透工具集首次泄露，附地址！

原文链接：【重磅】BRC4 后渗透工具集首次泄露，附地址！
原创 利刃信安 利刃信安 2022-09-16 01:33 发表于北京

BRC4 后渗透工具集是由Chetan Nayak（Mandiant和Crowdstrike的前红队成员）开发的攻击模拟和后利用工具包，于2020年发布。后利用工具包是一个可定制的命令和控制框架，为用户提供诸如（但不限于）：将shellcode注入进程、执行脚本执行和编写C2通道（如Slack、Microsoft团队）。

许多红队和对手在取得立足点后首先执行的技术动作之一是下载其他工具。许多现代安全工具能够使用无头浏览器（headless browser）之类的工具轻松检测到攻击者。但是，蓝队有时可能会被忽视的一种攻击方法是利用系统上已经存在的现有二进制文件（LOLBins）。该方法最流行工具之一是certutil，它是Windows操作系统上的命令行程序，用作证书服务的一部分。它可用于配置证书服务、验证证书以及更多与证书相关的活动。CertUtil中的一个命令参数——urlcache，可用于执行URL缓存管理操作——攻击者已经意识到他们可以使用该工具来下载恶意文件，但是如何检测呢？

检测恶意certutil活动的一种简单方法是通过CertUtil.exe的“urlcache”参数查找正在启动下载的文件。CertUtil通常不用于从Web下载可执行文件或文件，因此当它从互联网下载文件时应被视为可疑活动。

​

编辑
​

​

编辑
​

​

编辑
​

​

编辑
​

​

编辑
​

​

编辑
​

​

编辑
​

​

编辑
​

​

编辑
​
https://www.virustotal.com/gui/file
/591c2cd3a9b902a182fbf05bf5423cae17e3e6874c0d2e09107e914d86f39780

MD5
9b6badce82d865c5c9196521d6af1793
SHA-1
2ad8b747c449a45d5828d8300fef140dd74c3a40
SHA-256
591c2cd3a9b902a182fbf05bf5423cae17e3e6874c0d2e09107e914d86f39780
Vhash
15c07c60c414227e89fbe61711f6c114
SSDEEP
1572864:COszx449qkWzpycjjnPkagvRJlKftO2rsUBKYLDPOhbm641kybVU6DlF+wC4FG9P:A1TLWzgcjjTORTQteU8UTkCUI3vC
TLSH
T1064833E7953FDDCAB41A8429C238B475A2EE20E86D4BD07018A477947FC3E95B86F44C
File type
GZIP
Magic
gzip compressed data, from Unix
TrID
GZipped data (100%)
File size
108.69 MB (113968319 bytes)
Cyren packer
packed, packed, packed


​