brute-ratel-c4 - RunkIntel

# Brute Ratel C4 (BRc4) > [!danger] C2 Framework - Alternativa ao Cobalt Strike com EDR Evasion Superior > O Brute Ratel C4 foi projetado específicamente para evadir soluções EDR modernas desde sua concepcao. Após o vazamento de versao crackeada em setembro de 2022, tornou-se acessivel a grupos criminosos que antes dependiam do [[s0154-cobalt-strike|Cobalt Strike]]. O Black Basta usou BRc4 em toda sua cadeia de ataque em 2022-2024. Em ambientes com EDR de ultima geracao que detecta facilmente implants Cobalt Strike, o BRc4 e o substituto preferido. ## Visão Geral [[brute-ratel-c4|Brute Ratel C4]] (BRc4, também referido como "Dark Vortex" pelo seu site oficial) e uma ferramenta comercial de red-teaming e simulacao de ataques adversariais desenvolvida por **Chetan Nayak**, ex-operador de red team da Mandiant e CrowdStrike. Lancada em dezembro de 2020, foi projetada desde o inicio para **evasão específica de EDR** - ao contrario do Cobalt Strike, que foi criado para red team e adaptado para evasão posteriormente. Os agentes do BRc4 sao chamados **"Badgers"** e operam completamente em memoria, sem gravar arquivos em disco. Suportam payloads staged e stageless em formatos EXE, DLL e shellcode. A ferramenta inclui 63+ comandos para controle, com API hashing para resolução dinâmica que dificulta análise estática. Em setembro de 2022, uma versao crackeada do BRc4 vazou no submundo cibercriminoso, democratizando o acesso a essa ferramenta de alta capacidade. Após o vazamento, [[black-basta|Black Basta]], grupos APT (incluindo possívelmente [[g0016-apt29|APT29]]) e outros atores passaram a usar BRc4 como alternativa ou complemento ao [[s0154-cobalt-strike|Cobalt Strike]]. | Campo | Detalhe | |-------|---------| | **Tipo** | C2 Framework / Post-Exploitation | | **Desenvolvedor** | Chetan Nayak (Dark Vortex) | | **Lancamento** | Dezembro 2020 | | **Vazamento crackeado** | Setembro 2022 | | **MITRE ID** | S1063 | | **Plataformas** | Windows | | **Site oficial** | bruteratel.com | ## Como Funciona ### Arquitetura Badger O Badger e o agente in-memory do BRc4. Opera completamente fileless com pegada forense minima: - **Geracao de PE customizada**: Usa Mingw GCC modificado para reutilizar alocacoes de memoria existentes, evitando alocacoes novas detectaveis por EDR. - **Configuração cifrada**: C2 IP/porta, User-Agent, senha de autenticação e chave de cifragem armazenados em cleartext em versoes antigas; Base64-cifrado em versoes recentes. - **Execução inline de C#**: Reflection de payloads .NET sem gravacao em disco. - **Inválidação de chave**: Chaves de autenticação inválidadas após uso para bloquear reutilização por analistas de segurança. - **PEB modification**: Argumento spoofing via modificacao do Process Environment Block (comando ID `0x73E6`). - **Parent PID spoofing** (ID `0x8AFA`): O badger pode se criar como filho de qualquer processo, enganando análise de arvore de processos. ### Técnicas de Evasão EDR O BRc4 foi testado contra 17+ soluções EDR e as supera em evasão: **Indirect Syscalls:** Em vez de chamar APIs Windows que EDRs monitoram via hooks em userland (ntdll.dll), o BRc4 invoca syscalls diretamente sem passar pela NTDLL hookada. O EDR nao ve a chamada. **Sleep Masking:** Durante períodos ociosos entre comandos, o badger cifra e oculta suas proprias regioes de memoria. Scanners de memoria EDR que procuram assinaturas de implants durante o sono nao as encontram. **Stack e Thread Spoofing:** Manipulação da call stack e atributos de thread para enganar depuradores e ferramentas de análise que examinam contexto de execução. **Process Injection customizado:** Técnicas COFF-based que remapeiam em módulos já existentes sem novas alocacoes - evasão de monitores de alocacao de memoria executavel. **Remoção de hooks userland:** Remove hooks que EDRs inserem no userland para monitorar chamadas de API - abordagem mais agressiva que indirect syscalls. ### Protocolos C2 O BRc4 suporta multiples canais C2 com perfis personalizaveis: - **HTTP/HTTPS**: Com User-Agent customizavel, Base64/decifragem, perfis que imitam trafego legitimo. - **DNS**: Beaconing via consultas DNS. - **SMB**: Comúnicação peer-to-peer entre badgers em redes internas. - **DoH (DNS over HTTPS)**: Canal C2 via resolução DNS cifrada, extremamente dificil de bloquear sem inspeção SSL. Fluxo de comunicação: Badger envia requisicao -> verifica disponibilidade de dados -> le e decifra resposta -> autentica -> executa comandos. ## Attack Flow ```mermaid graph TB A["🎣 Acesso Inicial Phishing / DLL hijacking Entrega do Badger staged"] --> B["🛡️ Evasão EDR Indirect syscalls Sleep masking + memory enc"] B --> C["📡 Beaconing C2 HTTP/HTTPS/DNS/DoH Perfil malleable"] C --> D["🔍 Reconhecimento Domain groups T1069.002 Security software T1518.001"] D --> E["⬆️ Escalada Token impersonation T1134.001 UAC bypass"] E --> F["↔️ Movimento Lateral SMB/WMI/WinRM Pass-the-Hash"] F --> G["💀 Impacto Ransomware / Exfiltração Controle de dominio"] classDef initial fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#2980b9,stroke:#1a5276,color:#fff classDef recon fill:#27ae60,stroke:#1e8449,color:#fff classDef priv fill:#8e44ad,stroke:#7d3c98,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A initial class B evasion class C c2 class D,E recon class F priv class G impact ``` ## Timeline ```mermaid timeline title Brute Ratel C4 - Cronologia 2020 : Lancamento inicial por Chetan Nayak : Framework comercial para red team 2022 : Versao crackeada vaza em setembro : APT29 possívelmente usa BRc4 em campanha 2022 : Black Basta adota BRc4 + Qakbot : Substitui parcialmente Cobalt Strike 2023 : Scattered Spider usa BRc4 : Ataques contra hospitais e cassinos EUA 2024 : Permanece preferido em ambientes com EDR avancado : Paired com Sliver e Empire alem de Cobalt Strike 2025 : Versao v2.2+ com YARA updates contra badger : Relancamento Rinnegan em maio 2025 ``` ## Comparativo BRc4 vs Cobalt Strike | Caracteristica | Brute Ratel C4 | Cobalt Strike | |---------------|----------------|---------------| | **Design primario** | EDR evasion-first (indirect syscalls, sleep masking) | Red team standard, evasão adicionada gradualmente | | **Agente** | Badger (in-memory, fileless, 63+ cmds) | Beacon (C2/post-exploit similar) | | **Evasão de memoria** | Superior - criptografia de regioes de memoria em repouso | Malleable profiles, detectavel por EDR moderno | | **Protocolo C2** | HTTP/S, DNS, SMB, DoH (malleable) | HTTP/S, DNS, etc. (malleable) | | **Disponibilidade** | Comercial + versao crackeada gratuita (2022+) | Comercial - licenca necessária | | **Detecção atual** | Requer analitica comportamental - baixas assinaturas | Assinaturas amplas em todas as ferramentas EDR | | **Adocao APT** | Crescente 2022-2025 (Black Basta, APT29) | Historicamente dominante - declinio relativo | ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell commands via Badger | | Execução | [[t1569-002-service-execution\|T1569.002]] | Servico Windows para execução do Badger | | Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para execução remota e movimento lateral | | Persistência | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Badger renomeado imitando processo legítimo | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados, cifrados, sem disco | | Evasão | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decifragem do Badger em memoria | | Escalada | [[t1134-001-token-impersonationtheft\|T1134.001]] | Token impersonation para escalada de privilegio | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeracao de processos ativos | | Descoberta | [[t1069-002-domain-groups\|T1069.002]] | Enumeracao de grupos de dominio | | Descoberta | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de soluções AV/EDR instaladas | | Coleta | [[t1005-data-from-local-system\|T1005]] | Exfiltração de dados do sistema local | | Coleta | [[t1113-screen-capture\|T1113]] | Captura de tela via Badger | | Movimento Lateral | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | SMB para movimento lateral e transferencia | | Movimento Lateral | [[t1021-006-windows-remote-management\|T1021.006]] | WinRM para execução remota | | Injecao | [[t1055-002-portable-executable-injection\|T1055.002]] | PE injection em processos legítimos | | C2 | [[t1572-protocol-tunneling\|T1572]] | Tunneling sobre DNS/DoH para C2 | ## Relevância LATAM/Brasil Após o vazamento da versao crackeada em 2022, grupos de ransomware que operam no Brasil passaram a usar o BRc4 como framework C2 primario ou secundario. A capacidade de evasão de EDR e particularmente relevante no cenário brasileiro, onde muitas organizacoes implantaram soluções EDR nos ultimos anos, mas ainda dependem parcialmente de assinaturas. Relatorios de Incident Response em 2023-2024 documentaram uso de BRc4 em intrusoes contra o setor [[financial|financeiro]] e de [[technology|telecomúnicacoes]] no Brasil, frequentemente como replacement do Cobalt Strike em ambientes com proteção EDR de ultima geracao. O [[black-basta|Black Basta]] - ativo no Brasil com múltiplas vitimas confirmadas - adotou BRc4 como parte central de seu playbook de pos-comprometimento. ## Detecção e Defesa **Event IDs prioritarios:** - **Sysmon Event ID 8 (CreateRemoteThread):** Criação de thread remoto em processos legítimos - padrao de process injection dos Badgers BRc4. - **ETW (Event Tracing for Windows) - Microsoft-Windows-Kernel-Process:** Chamadas de syscall que bypassam NTDLL - indicativo de indirect syscalls do BRc4. Requer coleta de ETW avancada. - **Sysmon Event ID 3 (NetworkConnect):** Conexoes DNS ou HTTPS de processos injetados (Explorer.exe, notepad.exe) - padrao de C2 beaconing via processo legitimo comprometido. - **Memory Scanning:** Assinaturas de PE do Badger em memoria de processos legítimos (badger injetado nao existe como arquivo em disco). **Regras de detecção:** - Sigma: `proc_creation_win_hktl_bruteratel_indicators.yml` - IOCs e padroes comportamentais de BRc4. - YARA: `win_hacktool_bruteratel_c4_badger` - assinaturas de strings do badger em memoria (Neo23x0/signature-base). - Splunk: 17 analytics mapeados em 10 técnicas ATT&CK para BRc4 (Splunk Security Research). - Palo Alto Unit 42: Padroes de trafego C2 do BRc4 em HTTP/DNS (públicado 2022-09). **Mitigacoes:** - Implementar análise comportamental de memoria para detectar sleep masking e process injection sem disco. - Monitorar e alertar em processos legítimos (Explorer, notepad) realizando conexoes de rede incomuns. - Bloquear DoH externo via proxy DNS ou filtro de conteudo web - remove canal C2 de alto evasion. - Habilitar ETW providers avancados (`Microsoft-Windows-Kernel-Process`) para capturar chamadas de syscall. ## Referências - [1](https://attack.mitre.org/software/S1063) MITRE ATT&CK S1063 - [2](https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/) Palo Alto Unit 42 - BRc4 Cracked Version (2022-09) - [3](https://www.vectra.ai/blog/how-attackers-use-brute-ratel-brc4) Vectra AI - Como atacantes usam BRc4 - [4](https://www.splunk.com/en_us/blog/security/deliver-a-strike-by-reversing-a-badger-brute-ratel-detection-and-analysis.html) Splunk - BRc4 Detection e Análise - [5](https://cybergeeks.tech/a-deep-dive-into-brute-ratel-c4-payloads/) CyberGeeks - Deep Dive em Payloads BRc4 - [6](https://projecthyphae.com/threat/brute-ratel-replacing-cobalt-strike-as-attackers-preferred-post-exploitation-toolkit/) Project Hyphae - BRc4 substituindo Cobalt Strike - [7](https://bruteratel.com/) Dark Vortex - site oficial BRc4