<返回更多

Brute Ratel C4(BRC4)攻击框架TLS加密流量分析

2022-10-18    信息安全与通信保密杂志社
加入收藏

工具简介

Brute Ratel C4(以下简称BRC4)是由Mandiant和CrowdStrike的前红队队员Chetan Nayak发布的工具包,用以替代因使用广泛而被安全公司重点防范的Cobalt Strike框架。BRC4没有提供漏洞生成特性或者漏洞扫描特性,但是使用了众多用于规避和检测EDR的技术,其外部 C2核心通信逻辑是将有效负载输出隐藏在合法网络流量中。


 

工具使用

· 启动界面


 

· 开启服务端:服务证书可自动生成,也可以指定证书。


 

· 配置界面:可通过C4 profiler添加监听器,配置相关的监听器的连接协议包括HTTP、TLS、DNS,以及监听IP、URL信息、上线操作系统平台、HTTP请求头内容等。配置完成后可生成DLL,EXE,BIN等不同类型后门文件。


 

TLS流量特征

· 证书特征

该工具中自带证书,证书为自签名证书,证书中CountryName、CommonName、Email Address等字段为默认填写,默认证书如下:


 

不过,作者生成TLS证书的脚本支持更改CountryName、CommonName、EmailAddress等字段,该工具也支持上传使用自己的证书,因此可以绕过一些基于证书的检测技术。

· 流特征

受控端向服务器发送心跳连接,每次心跳完成一次TLS连接,建立握手后交互两个加密载荷(Application Data),受控端发送的包长度416字节,控制端回包长度183字节,控制端能够通过sleep命令设置心跳的时间间隔。


 

心跳连接传输载荷解密后,可以看到HTTP报文。受控端发送的是HTTP请求包,Data部分有Base64编码的数据;控制端则回应200响应包。


 

BRC4的HTTP心跳使用POST方法,URL、UA等字段均为监听器配置中设置的固定值,请求体外层为Base64编码,每次发送的内容不变。


 

总结

BRC4在2020年发布,因其比较小众,规避EDR检测能力较强,因而受到APT和网络犯罪团伙青睐。APT29组织和BlackCat勒索组织都有使用BRC4的记录。近期BRC4工具发生了泄露事件,我们预测后续BRC4的使用范围会逐步扩大。

随着网络安全研究者对Cobalt Strike等热门框架研究水平、防御水平的提升,选择类似BRC4的小众框架,利用加密流量进行远程控制会受到攻击者的欢迎。这类小众远程控制框架也会越来越多,观成科技安全研究团队会持续针对这类小众远控进行跟踪分析。

作者:北京观成科技

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>