침투 테스트 및 교육 목적으로 개발된 C2 프레임워크 (Command and Control Framework) 가 사이버 범죄 그룹에 의해 크랙되어 악용되고 있다. 사이버 위협에 대한 선제적인 대응에 초점을 맞춘 CTI (Cyber Threat Intelligence) 관점으로 C2 프레임워크를 추적하여 사전 차단한다면 조직을 향한 위협을 완화할 수 있다. Brute Ratel C4 는 AV/EDR 우회에 특화된 상용 C2 프레임워크로 코발트 스트라이크처럼 크랙되어 다크웹 등지에서 공유되고 있다. 특히, 유출된 Brute Ratel C4 의 1.2.2 버전은 APT29, RedHotel 과 같은 위협 행위자들에게 악용된 이력이 있다. 따라서 본 논문에서는 유출된 Brute Ratel C4 도구를 추적할 수 있는 방법론에 대해 제안한다. 기존 자료들은 구버전의 Brute Ratel C4 대상으로 작성되었기에 이 연구는 실제 유출된 1.2.2 버전을 대상으로 수행한다. 제안하는 방법론은 외부 소스 수집, 서버 검색, 봇넷 헌팅, 설정 추출, 인증서 수집, 피벗팅의 6 단계로 이뤄져 있다. 특히, 서버 검색 단계에서 Brute Ratel C4 의 구버전과 1.2.2 버전의 응답 값이 다르다는 점이 파악되었고 이에, 새로 쿼리 구성 후 검색 결과 14 건의 유출된 Brute Ratel C4 서버를 식별할 수 있었다. 실험 과정에서 수집된 Brute Ratel C4 서버의 인증서 hash, 서버 검색 단계에서 사용한 검색 쿼리, Brute Ratel C4 의 봇넷인 Badger 의 동작 구조, 실행 흐름 등을 공유하여 유출된 Brute Ratel C4 로부터 발생 가능한 사이버 위협에 대해 대응하고자 한다.
