SCOPUS
0Citation Export
| DC Field | Value | Language |
|---|---|---|
| dc.contributor.advisor | 곽진 | - |
| dc.contributor.author | 권혁주 | - |
| dc.date.issued | 2024-02 | - |
| dc.identifier.other | 33430 | - |
| dc.identifier.uri | https://aurora.ajou.ac.kr/handle/2018.oak/38903 | - |
| dc.description | 학위논문(석사)--사이버보안학과,2024. 2 | - |
| dc.description.abstract | 침투 테스트 및 교육 목적으로 개발된 C2 프레임워크 (Command and Control Framework) 가 사이버 범죄 그룹에 의해 크랙되어 악용되고 있다. 사이버 위협에 대한 선제적인 대응에 초점을 맞춘 CTI (Cyber Threat Intelligence) 관점으로 C2 프레임워크를 추적하여 사전 차단한다면 조직을 향한 위협을 완화할 수 있다. Brute Ratel C4 는 AV/EDR 우회에 특화된 상용 C2 프레임워크로 코발트 스트라이크처럼 크랙되어 다크웹 등지에서 공유되고 있다. 특히, 유출된 Brute Ratel C4 의 1.2.2 버전은 APT29, RedHotel 과 같은 위협 행위자들에게 악용된 이력이 있다. 따라서 본 논문에서는 유출된 Brute Ratel C4 도구를 추적할 수 있는 방법론에 대해 제안한다. 기존 자료들은 구버전의 Brute Ratel C4 대상으로 작성되었기에 이 연구는 실제 유출된 1.2.2 버전을 대상으로 수행한다. 제안하는 방법론은 외부 소스 수집, 서버 검색, 봇넷 헌팅, 설정 추출, 인증서 수집, 피벗팅의 6 단계로 이뤄져 있다. 특히, 서버 검색 단계에서 Brute Ratel C4 의 구버전과 1.2.2 버전의 응답 값이 다르다는 점이 파악되었고 이에, 새로 쿼리 구성 후 검색 결과 14 건의 유출된 Brute Ratel C4 서버를 식별할 수 있었다. 실험 과정에서 수집된 Brute Ratel C4 서버의 인증서 hash, 서버 검색 단계에서 사용한 검색 쿼리, Brute Ratel C4 의 봇넷인 Badger 의 동작 구조, 실행 흐름 등을 공유하여 유출된 Brute Ratel C4 로부터 발생 가능한 사이버 위협에 대해 대응하고자 한다. | - |
| dc.description.tableofcontents | 1. 서론 1_x000D_ <br>2. 관련 연구 4_x000D_ <br>3. 배경 6_x000D_ <br> 3.1. C2 프레임워크 6_x000D_ <br> 3.1.1. C2 프레임워크 구조 7_x000D_ <br> 3.1.2. C2 프레임워크 통신 8_x000D_ <br> 3.1.3. C2 프레임워크 기능 8_x000D_ <br> 3.1.4. C2 프레임워크 악용 사례 9_x000D_ <br> 3.2. C2 프레임워크 추적 10_x000D_ <br> 3.2.1. 서버 검색 10_x000D_ <br> 3.2.2. 봇넷 헌팅 10_x000D_ <br> 3.2.3. 봇넷 설정 추출 11_x000D_ <br> 3.2.4. 인증서 수집 및 특징 추출 11_x000D_ <br> 3.2.5. 피벗팅 12_x000D_ <br> 3.3. 서버 검색 엔진 12_x000D_ <br> 3.3.1. 쇼단 12_x000D_ <br> 3.3.2. 센시스 13_x000D_ <br> 3.3.3 JARM hash 13_x000D_ <br> 3.3.4. 응답 값 기반 검색 14_x000D_ <br> 3.3.5. 인증서 기반 검색 14_x000D_ <br> 3.4. 악성코드 샘플 헌팅 14_x000D_ <br> 3.5. Brute Ratel C4 15_x000D_ <br> 3.5.1. BRc4 구조 15_x000D_ <br> 3.5.2. 탐지 우회 기능 16_x000D_ <br>4. 제안 18_x000D_ <br> 4.1. 외부 소스 수집 19_x000D_ <br> 4.2. 서버 검색 19_x000D_ <br> 4.3. 봇넷 헌팅 20_x000D_ <br> 4.4. 설정 추출 20_x000D_ <br> 4.5. 인증서 수집 및 특징 추출 21_x000D_ <br> 4.6. 피벗팅 22_x000D_ <br>5. 실험 23_x000D_ <br> 5.1. 실험 수행 23_x000D_ <br> 5.1.1. 외부 소스 수집 23_x000D_ <br> 5.1.2. 서버 검색 23_x000D_ <br> 5.1.3. Badger 헌팅 및 실행 흐름 분석 26_x000D_ <br> 5.1.4. 설정 추출 28_x000D_ <br> 5.1.5. 피벗팅 29_x000D_ <br> 5.2. 실험 결과 분석 30_x000D_ <br> 5.3. 분석 데이터 활용 32_x000D_ <br>6. 결론 34|그림 1. C2 프레임워크 구조 7_x000D_ <br>그림 2. JARM HASH 13_x000D_ <br>그림 3. 제안 방법론 18_x000D_ <br>그림 4. BRC4 BADGER 실행 흐름 28_x000D_ <br>그림 5. BRC4 추적 결과 시각화 33|표 1. 연구 비교 5_x000D_ <br>표 2. C2 프레임워크 목록 6_x000D_ <br>표 3. C2 프레임워크 통신 방식 8_x000D_ <br>표 4. C2 프레임워크 기능 9_x000D_ <br>표 5. BRC4 탐지 우회 기능 16_x000D_ <br>표 6. 외부 소스 수집 목록 19_x000D_ <br>표 7. BRC4 설정 저장 형태 20_x000D_ <br>표 8. X.509 필드 목록 21_x000D_ <br>표 9. DN 필드 목록 22_x000D_ <br>표 10. 검색 쿼리 목록 24_x000D_ <br>표 11. 쿼리 조합 목록 25_x000D_ <br>표 12. BRC4 버전 별 응답 값 HASH 25_x000D_ <br>표 13. 유출 버전 대상 검색 결과 26_x000D_ <br>표 14. BADGER ISO 샘플 내 파일 목록 27_x000D_ <br>표 15. 악성 의심 IP 및 인증서 HASH 29_x000D_ <br>표 16. 악성 의심 인증서 DN 필드 29_x000D_ <br>표 17. 동일 인증서 사용 건수 31_x000D_ | - |
| dc.language.iso | kor | - |
| dc.publisher | The Graduate School, Ajou University | - |
| dc.rights | 아주대학교 논문은 저작권에 의해 보호받습니다. | - |
| dc.title | 유출된 BRc4 도구 추적에 관한 연구 | - |
| dc.type | Thesis | - |
| dc.contributor.affiliation | 아주대학교 대학원 | - |
| dc.contributor.alternativeName | Gwon Hyeok Ju | - |
| dc.contributor.department | 일반대학원 사이버보안학과 | - |
| dc.date.awarded | 2024-02 | - |
| dc.description.degree | Master | - |
| dc.identifier.url | https://dcoll.ajou.ac.kr/dcollection/common/orgView/000000033430 | - |
| dc.subject.keyword | Brute Ratel C4 | - |
| dc.subject.keyword | Command and Control Framework | - |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
