Brute Ratel C4 1.2.2 Badger Shellcode详细剖析
💡
原文中文,约17700字,阅读约需43分钟。
📝
内容提要
Molecules组织破解了Brute Ratel C4 1.2.2版本,NinjaParanoid追踪了泄露的经过,MdSec开发了Nighthawk C2,Brc4 1.2.2版本有x64和arm64两个版本,只有HTTP Listener和DOH Listener两种Listener,可以添加TCP和SMB的Payload,使用rc4算法解密加密数据,发送上线包到C2,使用Brc4自定义加密算法加密上线包,根据配置文件选择的睡眠混淆方式选择对应的睡眠混淆函数,有131个命令用于和Badger交互,使用SystemFunction036生成16字节的伪随机数用于加密睡眠中badger core dll内存的rc4密钥。
🎯
关键要点
- Molecules组织破解了Brute Ratel C4 1.2.2版本,导致其泄露。
- MdSec开发了Nighthawk C2,与Brute Ratel C4存在竞品关系。
- Brute Ratel C4的泄露版本包括x64和arm64两个版本,支持HTTP和DOH Listener。
- Brc4使用rc4算法解密数据,并通过自定义加密算法加密上线包。
- Brc4支持131个命令与Badger交互,使用SystemFunction036生成伪随机数。
- 泄露的Brc4 1.2.2版本包含多个恶意代码分析和功能实现。
- Brc4的Payload支持TCP和SMB,需通过已上线的badger进行转发。
- Brc4的后利用命令包括mkdir、ls、exit等多种功能,支持多种睡眠混淆方式。
- Stealth版本的shellcode增加了FixDllMemoryHook函数,用于对抗安全软件的hook。
- 总结部分强调了Brute Ratel C4的功能和恶意代码的复杂性。
➡️
