# Brute Ratel C4 > [!danger] Framework C2 - Evasão de EDR > Framework de Command & Control comercial desenvolvido por ex-red teamer da CrowdStrike, projetado específicamente para evadir soluções EDR modernas. Licenças crackeadas e vazadas permitem uso por grupos APT como APT29 e ALPHV/BlackCat. ## Visão Geral **Brute Ratel C4** (abreviado BRc4, também chamado **Dark Vortex**) é um framework de Command & Control comercial desenvolvido por Chetan Nayak - ex-pesquisador de red team da CrowdStrike e Mandiant. Criado como alternativa ao [[s0154-cobalt-strike|Cobalt Strike]], o BRc4 foi projetado desde o início com foco em evasão de endpoints detection and response (EDR) modernos, incluindo Microsoft Defender for Endpoint, CrowdStrike Falcon e SentinelOne. Diferente do Cobalt Strike - que carrega anos de assinaturas de detecção acumuladas - o BRc4 implementa técnicas modernas de evasão: process injection via syscalls diretas que contornam hooks de EDR em modo usuário, comúnicações C2 customizáveis via HTTP/HTTPS com profiles maleáveis, e manipulação de tokens de acesso para escalação de privilégios. Quando licenças crackeadas vazaram online em 2022, grupos como [[g0016-apt29|APT29]] e [[alphv-blackcat-group|ALPHV/BlackCat]] adotaram a ferramenta rapidamente em suas operações. Para equipes de segurança, o BRc4 representa o estado da arte em ferramentas adversariais comerciais disponíveis para grupos de ameaça sofisticados - e um desafio significativo para soluções de detecção baseadas em assinaturas. **Plataformas:** Windows, Linux, macOS ## Como Funciona O Brute Ratel C4 opera com arquitetura cliente-servidor: - **Servidor (Listener):** Infraestrutura C2 do atacante - recebe callbacks e envia comandos - **Badger (implante):** Payload implantado nos sistemas alvo - realiza callbacks periódicos ao C2 - **Console:** Interface de controle do operador - gerencia sessões e executa post-exploitation O Badger implementa técnicas avançadas de evasão: 1. **Direct Syscalls:** Chama funções do kernel NT diretamente via `syscall`, contornando hooks de DLL em modo usuário que EDRs injetam em ntdll.dll 2. **In-Memory Execution:** Execução sem escrita em disco usando Process Hollowing e Module Stomping 3. **Malleable C2 Profiles:** Comúnicações C2 personalizáveis que imitam tráfego legítimo (Office365, Amazon, Google) 4. **AMSI/ETW Bypass:** Desabilita automaticamente o Windows Antimalware Scan Interface e Event Tracing for Windows ## Uso Ofensivo ```mermaid graph TB A["🎯 Acesso inicial<br/>Phishing / exploit"] --> B["💉 Badger implantado<br/>process injection - sem disco"] B --> C["🔒 Direct syscalls<br/>contorna hooks EDR"] C --> D["📡 Callback C2<br/>malleable HTTP profile"] D --> E{"Post-exploitation"} E --> F["🔑 Credential Access<br/>T1134 token manipulation"] E --> G["🌐 Lateral Movement<br/>pass-the-hash / SMB"] E --> H["📤 Exfiltração<br/>dados staged via C2"] F --> I["🚪 Domain Admin<br/>controle total do AD"] ``` **Evasão de EDR via Direct Syscalls:** ```mermaid graph TB A["⚠️ EDR hook em ntdll.dll<br/>monitora chamadas NT"] --> B["🔍 BRc4 detecta hooks<br/>compara bytes da DLL"] B --> C["⚡ Direct syscall<br/>bypassa a DLL hookada"] C --> D["🖥️ Kernel Windows<br/>executa sem detecção"] D --> E["✅ Operação completada<br/>EDR não detectou"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2020 | Chetan Nayak começa desenvolvimento do BRc4 como red team tool interna | | 2021 | BRc4 lançado comercialmente como alternativa ao Cobalt Strike | | 2022-06 | CrowdStrike e Palo Alto Unit 42 detectam BRc4 em ataques APT - primeira documentação pública | | 2022-09 | Licença crackeada vaza online - adoção massiva por grupos criminosos | | 2022 | [[g0016-apt29\|APT29]] identificado usando BRc4 em campanha de espionagem | | 2023 | [[alphv-blackcat-group\|ALPHV/BlackCat]] usa BRc4 como alternativa ao Cobalt Strike | | 2024 | Múltiplos grupos de ransomware adotam BRc4 - assinaturas de EDR melhoram gradualmente | ## TTPs | ID | Nome | Uso pelo BRc4 | |----|------|--------------| | [[t1055-process-injection\|T1055]] | Process Injection | Injeção de Badger em processos legítimos via direct syscalls | | [[t1134-access-token-manipulation\|T1134]] | Access Token Manipulation | Impersonation de tokens privilegiados para escalação | | [[t1027-002-software-packing\|T1027.002]] | Software Packing | Badger empacotado para evadir análise estática | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | Comúnicação C2 via HTTP/HTTPS com perfis maleáveis | | [[t1070-006-timestomp\|T1070.006]] | Timestomp | Modificação de timestamps para anti-forense | ## Atores que Utilizam - [[g0016-apt29|APT29]] (Cozy Bear) - espionagem governamental com licença crackeada - [[alphv-blackcat-group|ALPHV/BlackCat]] - ransomware operations - [[g0032-lazarus-group|Lazarus Group]] - documentado em campanhas de 2023 ## Relevância LATAM/Brasil O Brute Ratel C4 é diretamente relevante para o Brasil pela adoção do [[alphv-blackcat-group|ALPHV/BlackCat]], que registra vítimas confirmadas no setor financeiro e industrial brasileiro. O modelo de negócios do ALPHV (RaaS - Ransomware-as-a-Service) significa que afiliados brasileiros ou que operam no Brasil podem ter acesso ao BRc4 como ferramenta de pós-exploração. A característica mais preocupante é a evasão de EDR: organizações brasileiras que investiram em soluções como CrowdStrike Falcon ou Microsoft Defender for Endpoint podem ter falsa sensação de segurança - o BRc4 foi específicamente desenvolvido para contornar essas ferramentas. A defesa eficaz requer detecção comportamental baseada em telemetria de rede e anomalias de processo, não apenas assinaturas. ## Detecção **Indicadores de comprometimento:** - Processo legítimo (`svchost.exe`, `explorer.exe`, `notepad.exe`) com conexões de rede incomuns para CDNs ou Cloud providers - Chamadas de syscall diretas (`NtCreateThread`, `NtAllocateVirtualMemory`) sem passar por `ntdll.dll` - detectable via ETW se não desabilitado - Comportamento de beaconing: conexões HTTP/HTTPS periódicas de processos não-navegador **Fontes de dados recomendadas:** - **ETW (Event Tracing for Windows):** Monitorar chamadas de kernel NT sem origem em ntdll.dll - padrão de direct syscalls - **Sysmon Event ID 3 (NetworkConnect):** Processos legítimos do sistema fazendo conexões HTTP/HTTPS para IPs externos não catalogados - **Microsoft Defender for Endpoint:** `DeviceNetworkEvents` - beaconing de processos de sistema para IPs cloud suspeitos **Regras de detecção:** - Sigma: `proc_creation_win_bruteratel_badger.yml` - padrões comportamentais do Badger (SigmaHQ) - YARA: `apt_bruteratel_c4_badger` - strings internas do Badger e estruturas de comunicação C2 - Elastic: `defense_evasion_via_direct_syscall` - detecção de direct syscalls contornando ntdll ## Referências - [1](https://attack.mitre.org/software/S1063) MITRE ATT&CK - S1063 Brute Ratel C4 (2024) - [2](https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/) Unit 42 - Brute Ratel C4: The Swiss Army Knife for Adversaries (2022) - [3](https://www.crowdstrike.com/blog/malicious-use-of-legitimate-tools/) CrowdStrike - Malicious Use of Legitimate Red Team Tools (2022) - [4](https://thalpius.com/2022/06/01/brute-ratel-c4-v1-2-2-tackling-the-undocumented/) Thalpius - Brute Ratel C4 Analysis (2022)