Brute Ratel C4 [1.4.5]

Brute Ratel — инструмент для пентеста, фреймворк постэксплуатации. Позволяет развёртывать (badgers) на удалённых хостах, которые подключаются к управляющему серверу злоумышленника, чтобы получать команды или передавать операторам результаты уже запущенных команд.

Инструмент ориентирован на уклонение от обнаружения EDR и антивирусными решениями, почти все защитные продукты не определяют в нём вредоносное ПО

Особенности:

Открытие учётных записей. Для этого можно использовать LDAP-запросы, команды «net group „Domain Admins“ /domain» и «net user /domain».
Использование веб-протоколов. Для C2-коммуникации можно использовать HTTPS и DNS over HTTPS.
Использование оболочки командной строки Windows. Для выполнения команд можно использовать cmd.exe.
Маскировка. Например, Brute Ratel C4 может использовать иконки Microsoft Word, чтобы скрывать вредоносные файлы LNK.
Вызов и динамическое разрешение хешированных API.
Создание системных служб Windows. Их можно создавать для выполнения команд.
Запуск через открытие вредоносных документов. Brute Ratel C4 может запускаться, когда пользователь открывает вредоносные документы.
Вызов NtDelayExecution для паузы выполнения.

Download

#malware