BRICKSTORM : détection d’un backdoor ELF qui contourne les EDR sur VCSA et équipements Linux/BSD

Source et contexte: Rubrik Zero Labs publie une analyse intitulée Unmasking the Invisible: Hunting and Defeating EDR-Evading Threats Like BRICKSTORM, soulignant que les EDR traditionnels ne tournent pas (ou ne peuvent pas) sur des appliances telles que VMware vCenter Server Appliance (VCSA) et d’autres équipements réseau Linux/BSD — une surface dont des acteurs malveillants tirent parti.

🔍 L’article met en avant des règles YARA signées par Google Threat Intelligence Group (GTIG) pour identifier le backdoor BRICKSTORM. Les règles référencées incluent G_APT_Backdoor_BRICKSTORM_3, G_Backdoor_BRICKSTORM_2, G_APT_Backdoor_BRICKSTORM_1 et G_APT_Backdoor_BRICKSTORM_2, avec des conditions ciblant des binaires ELF (vérifications de magie ELF comme 0x464c457f / 0x7F454C46) et des motifs d’obfuscation/décryptage.

L’analyse s’appuie sur des détections issues d’environnements clients où Rubrik Zero Labs a identifié des indicateurs de compromission liés au backdoor hautement furtif BRICKSTORM.

Indicateurs (IOCs) fournis:

• Règles YARA: G_APT_Backdoor_BRICKSTORM_3, G_Backdoor_BRICKSTORM_2, G_APT_Backdoor_BRICKSTORM_1, G_APT_Backdoor_BRICKSTORM_2 (auteur: Google Threat Intelligence Group)
• Hashes BRICKSTORM:
  • 90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65
  • eca293578982a8c4b64f51b035,
  • 2388ed7aee0b6b392778e8f9e98871c06499f4
  • 76c9e7eae6ca0916f827fe65df,
  • Aa688682d44f0c6b0ed7f30b981a609100107f
  • 2d414a3a6e5808671b112d1878
• Chaînes/artefacts notables (extraits des règles):
  • “WRITE_LOG=true”, “WRITE_LOGWednesday”
  • Chemins: “/opt/vmware/sbin/”, “/home/vsphere-ui/”, “/opt/vmware/sbin/vami-http”
  • Modules/labels: “/libs/doh.Query”, “/libs/doh.createDnsMessage”, “/core/protocol/websocket.”, “/core/extends/socks.”, “/core/extends/command.*”
  • Indicateurs de Go/ELF et fonctions comme main.selfWatcher, main.copyFile, main.startNew

TTPs observées (d’après les motifs et chaînes):

• Évasion d’EDR sur appliances non couvertes par des agents EDR (VCSA, équipements Linux/BSD)
• Binaire ELF (Linux)
• Utilisation de DNS-over-HTTPS (DoH) et WebSocket pour la communication
• Capacités SOCKS/relay, exécution de commandes, opérations fichiers (upload/download, stat, delete, rename)
• Mécanismes d’auto-surveillance, copie de fichiers et démarrage de nouveaux processus; obfuscation/décryptage de chaînes

Conclusion: Il s’agit d’une analyse de menace visant à exposer BRICKSTORM et à fournir des signatures YARA et IOCs pour la détection.

🧠 TTPs et IOCs détectés

TTP

[‘Évasion d’EDR sur appliances non couvertes par des agents EDR (VCSA, équipements Linux/BSD)’, ‘Binaire ELF (Linux)’, ‘Utilisation de DNS-over-HTTPS (DoH) et WebSocket pour la communication’, ‘Capacités SOCKS/relay’, ‘Exécution de commandes’, ‘Opérations fichiers (upload/download, stat, delete, rename)’, ‘Mécanismes d’auto-surveillance’, ‘Copie de fichiers et démarrage de nouveaux processus’, ‘Obfuscation/décryptage de chaînes’]

IOC

{‘hashes’: [‘90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65’, ’eca293578982a8c4b64f51b035’, ‘2388ed7aee0b6b392778e8f9e98871c06499f4’, ‘76c9e7eae6ca0916f827fe65df’, ‘Aa688682d44f0c6b0ed7f30b981a609100107f’, ‘2d414a3a6e5808671b112d1878’], ‘yara_rules’: [‘G_APT_Backdoor_BRICKSTORM_3’, ‘G_Backdoor_BRICKSTORM_2’, ‘G_APT_Backdoor_BRICKSTORM_1’, ‘G_APT_Backdoor_BRICKSTORM_2’], ’notable_strings’: [‘WRITE_LOG=true’, ‘WRITE_LOGWednesday’], ‘paths’: [’/opt/vmware/sbin/’, ‘/home/vsphere-ui/’, ‘/opt/vmware/sbin/vami-http’], ‘modules_labels’: [’/libs/doh.Query’, ‘/libs/doh.createDnsMessage’, ‘/core/protocol/websocket.’, ‘/core/extends/socks.’, ‘/core/extends/command.*’], ‘functions’: [‘main.selfWatcher’, ‘main.copyFile’, ‘main.startNew’]}

---

🔗 Source originale : https://zerolabs.rubrik.com/blog/unmasking-the-invisible-hunting-and-defeating-edr-evading-threats-like-brickstorm