유출된 BRc4 도구 추적에 관한 연구
- 주제(키워드) Brute Ratel C4 , Command and Control Framework
- 주제(DDC) 005.8
- 발행기관 아주대학교 정보통신대학원
- 지도교수 곽진
- 발행년도 2024
- 학위수여년월 2024. 2
- 학위명 석사
- 학과 및 전공 일반대학원 사이버보안학과
- 실제URI http://www.dcollection.net/handler/ajou/000000033430
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
침투 테스트 및 교육 목적으로 개발된 C2 프레임워크 (Command and Control Framework) 가 사이버 범죄 그룹에 의해 크랙되어 악용되고 있다. 사이버 위협에 대한 선제적인 대응에 초점을 맞춘 CTI (Cyber Threat Intelligence) 관점으로 C2 프레임워크를 추적하여 사전 차단한다면 조직을 향한 위협을 완화할 수 있다. Brute Ratel C4 는 AV/EDR 우회에 특화된 상용 C2 프레임워크로 코발트 스트라이크처럼 크랙되어 다크웹 등지에서 공유되고 있다. 특히, 유출된 Brute Ratel C4 의 1.2.2 버전은 APT29, RedHotel 과 같은 위협 행위자들에게 악용된 이력이 있다. 따라서 본 논문에서는 유출된 Brute Ratel C4 도구를 추적할 수 있는 방법론에 대해 제안한다. 기존 자료들은 구버전의 Brute Ratel C4 대상으로 작성되었기에 이 연구는 실제 유출된 1.2.2 버전을 대상으로 수행한다. 제안하는 방법론은 외부 소스 수집, 서버 검색, 봇넷 헌팅, 설정 추출, 인증서 수집, 피벗팅의 6 단계로 이뤄져 있다. 특히, 서버 검색 단계에서 Brute Ratel C4 의 구버전과 1.2.2 버전의 응답 값이 다르다는 점이 파악되었고 이에, 새로 쿼리 구성 후 검색 결과 14 건의 유출된 Brute Ratel C4 서버를 식별할 수 있었다. 실험 과정에서 수집된 Brute Ratel C4 서버의 인증서 hash, 서버 검색 단계에서 사용한 검색 쿼리, Brute Ratel C4 의 봇넷인 Badger 의 동작 구조, 실행 흐름 등을 공유하여 유출된 Brute Ratel C4 로부터 발생 가능한 사이버 위협에 대해 대응하고자 한다.
more목차
1. 서론 1
2. 관련 연구 4
3. 배경 6
3.1. C2 프레임워크 6
3.1.1. C2 프레임워크 구조 7
3.1.2. C2 프레임워크 통신 8
3.1.3. C2 프레임워크 기능 8
3.1.4. C2 프레임워크 악용 사례 9
3.2. C2 프레임워크 추적 10
3.2.1. 서버 검색 10
3.2.2. 봇넷 헌팅 10
3.2.3. 봇넷 설정 추출 11
3.2.4. 인증서 수집 및 특징 추출 11
3.2.5. 피벗팅 12
3.3. 서버 검색 엔진 12
3.3.1. 쇼단 12
3.3.2. 센시스 13
3.3.3 JARM hash 13
3.3.4. 응답 값 기반 검색 14
3.3.5. 인증서 기반 검색 14
3.4. 악성코드 샘플 헌팅 14
3.5. Brute Ratel C4 15
3.5.1. BRc4 구조 15
3.5.2. 탐지 우회 기능 16
4. 제안 18
4.1. 외부 소스 수집 19
4.2. 서버 검색 19
4.3. 봇넷 헌팅 20
4.4. 설정 추출 20
4.5. 인증서 수집 및 특징 추출 21
4.6. 피벗팅 22
5. 실험 23
5.1. 실험 수행 23
5.1.1. 외부 소스 수집 23
5.1.2. 서버 검색 23
5.1.3. Badger 헌팅 및 실행 흐름 분석 26
5.1.4. 설정 추출 28
5.1.5. 피벗팅 29
5.2. 실험 결과 분석 30
5.3. 분석 데이터 활용 32
6. 결론 34
목차
그림 1. C2 프레임워크 구조 7
그림 2. JARM HASH 13
그림 3. 제안 방법론 18
그림 4. BRC4 BADGER 실행 흐름 28
그림 5. BRC4 추적 결과 시각화 33
목차
표 1. 연구 비교 5
표 2. C2 프레임워크 목록 6
표 3. C2 프레임워크 통신 방식 8
표 4. C2 프레임워크 기능 9
표 5. BRC4 탐지 우회 기능 16
표 6. 외부 소스 수집 목록 19
표 7. BRC4 설정 저장 형태 20
표 8. X.509 필드 목록 21
표 9. DN 필드 목록 22
표 10. 검색 쿼리 목록 24
표 11. 쿼리 조합 목록 25
표 12. BRC4 버전 별 응답 값 HASH 25
표 13. 유출 버전 대상 검색 결과 26
표 14. BADGER ISO 샘플 내 파일 목록 27
표 15. 악성 의심 IP 및 인증서 HASH 29
표 16. 악성 의심 인증서 DN 필드 29
표 17. 동일 인증서 사용 건수 31
