脅威ブリーフィングブルートラテル(BRC4)を使用する攻撃者の手口 > ‍ブルートラテル(BRC4)を使用する攻撃者の手口

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

ブルートラテル(BRC4)を使用する攻撃者の手口

2025年5月14日
Lucie Cardiet
プロダクト・マーケティング・マネージャー
ブルートラテル(BRC4)を使用する攻撃者の手口

セキュリティチームは新世代の攻撃ツールに直面しており、BRC4(Brute Ratel C4)がその先頭を走っている。BRC4は元々、合法的なレッドチームの演習やセキュリティ・テストのために開発されましたが、その強力な回避機能と攻撃自動化機能により、瞬く間に実世界の攻撃者のお気に入りのツールとなりました。ここで知っておくべきことがあります。

ブルート・ラーテルとは?

Brute Ratelは 、Chetan Nayak氏によって作成された、高度な攻撃者の行動をシミュレートするためのポストエクスプロイトおよびコマンド&コントロール(C2)フレームワークです。その機能は以下の通りです:

  1. ステルスと回避:ユーザーランドのフック除去、メモリ暗号化、スリープマスキングにより、EDRツールによる検出を高度に回避。
  2. カスタムペイロード生成:HTTP/S、DNS、SMB、DoHを介した柔軟なビーコニングにより、EXE、DLL、シェルコードのペイロードをサポートします。
  3. 強固なエージェント管理攻撃者のコマンドを実行するエージェントとして「バジャー」を使用。
  4. ファイルレス操作:完全にメモリ内で動作し、最小限のフォレンジックトレースを残します。
  5. 高度にカスタマイズ可能な攻撃プロファイル通信を正当なトラフィックに偽装するための、独自の柔軟なプロファイルをサポートします。

ブルートラテルの悪用方法

1.リスナーとマレブル・プロファイルの設定

攻撃者は、境界やネットワークベースの検知を回避するために設計された、いくつかの難読化および回避テクニックを使用して、HTTP/Sを介して通信するようにBRC4を設定します:ローテーションドメインとIP オペレーターは、複数のドメイン名やIPアドレスをローテーションさせたり、時間とともに変更させたりすることで、静的な許可/ブロックリストや脅威情報フィードを回避します。

カスタム可鍛性プロファイル

攻撃者は、正当なウェブトラフィックを模倣したJSON形式のリクエストとレスポンスを作成し、悪意のある通信を通常のネットワークノイズに紛れ込ませる。

カスタムHTTPヘッダー

事業者は、application/jsonのようなcontent-typeヘッダを模倣するなど、独自のHTTPヘッダを定義し、悪意のあるトラフィックを通常のAPIやウェブサービスの通信のように見せる。

複数のURIパス

BRC4では、一般的なウェブ・リソース(例:/api/v1/data)のように見えるランダム化されたURLパスや事前に定義されたURLパスを使用することができ、シグネチャベースの検出を回避できる可能性が高まる。

フォールバック通信方法

ある通信チャネルがブロックされた場合、攻撃者はペイロードを再設定することで、ターゲットに再感染することなく、別のドメインやC2サーバーにフェイルオーバーさせることができる。

HTTPリスナーがセットアップされたBrute Ratelインターフェースのスクリーンショット
HTTPリスナーがセットアップされたBrute Ratelインターフェースのスクリーンショット

2.EDR回避

攻撃者はBRC4のいくつかの高度な回避機能を利用して、ランタイム・セキュリティ・メカニズムを迂回し、検知を回避する:

ユーザーランドのフック解除

BRC4は、EDRやアンチウイルス・ソリューションによって設置されたユーザーモードAPIフックをターゲットとしています。主要なWindows APIからこれらのフックを削除することで、セキュリティ・ソフトウェアが警告を発することなく悪意のある動作を検査したりブロックしたりする機能を無効にします。

睡眠マスキング

アイドル期間中、BRC4はメモリ内領域を暗号化して隠すため、メモリスキャナやEDRが静的または休止状態のペイロードを検知 することが難しくなります。これは、長時間実行されるプロセスの異常動作を監視するソリューションに対して特に効果的です。

間接的なシステムコール

BRC4は、セキュリティ・ツールがしばしば実行を監視するWindows APIを直接呼び出す代わりに、間接的なシステム・コールを使用してコール・パスを不明瞭にし、セキュリティ・ソリューションが悪意のある動作を追跡してフラグを立てることを難しくしている。

スタックとスレッドの偽装

BRC4は、スタックフレームとスレッド開始アドレスを偽装することで、実行中のスレッドの実行コンテキストを操作します。これにより、解析ツールやデバッガが悪意のあるアクティビティを誤解したり見落としたりするように仕掛け、攻撃者は手動解析と自動解析の両方から逃れることができる。

BRC4とCobalt Strike スレッドを比較したスクリーンショット
BRC4とCobalt Strike スレッドを比較したスクリーンショット

3.資格の窃盗と横移動

攻撃者はBRC4を使って、クレデンシャルの窃盗や横移動作戦を正確かつステルスに実行する:

Kerberoasting 攻撃

BRC4は、Active Directory環境内のサービスプリンシパル名(SPN)の列挙を自動化し、攻撃者がKerberosチケット付与サービス(TGS)チケットを抽出できるようにします。これらのチケットはオフラインでクラックされ、平文のサービス・アカウント・パスワードを明らかにし、機密性の高いシステムやサービスへの高度なアクセスを可能にします。

セッション・トークンの盗難

BRC4は、攻撃者がアクティブなユーザー・セッションから認証トークンをキャプチャして保存することを可能にします。これらのトークンを再利用することで、攻撃者は実際のパスワードを知らなくてもドメイン管理者などの特権ユーザーになりすますことができ、シームレスな特権の昇格が可能になります。

ステルス横移動

BRC4は複数の横移動テクニックを提供する:

  • SC の流用:リモートホスト上の既存のサービスを変更し、新しいサービスを作成せずに攻撃者が制御するペイロードを実行することで、検知リスクを低減します。
  • SMB実行: SMBプロトコルを使用し、既存の管理共有を利用してリモートシステム上でコマンドを実行します。
  • PSExecのような実行:追加のバイナリに依存することなく、MicrosoftのPSExecツールに類似した技術を使用して、ペイロードをリモートで展開します。
  • WMI実行: Windows Management Instrumentation (WMI)を介してリモートシステム上でコマンドを実行するため、実行ファイルをディスクにドロップする必要がありません。
ペイロード・プロファイラを表示したBRC4インターフェースのスクリーンショット
ペイロード・プロファイラを表示したBRC4インターフェースのスクリーンショット

4.プロセスインジェクションとメモリー技術

BRC4は、攻撃者が高度なプロセスおよびメモリ操作技術を活用することで、ステルスかつ回避的な方法で悪意のあるコードを実行することを可能にする:

信頼できるプロセスへのシェルコード・インジェクション

BRC4は、生のシェルコードを正規のシステムプロセスやユーザープロセスのメモリに直接注入することができるため、explorer.exeやsvchost.exeのような信頼できるアプリケーションを装って攻撃者が制御するコードを実行することができ、セキュリティツールによる検出が非常に困難になる。

ステルス実行のためのリフレクティブDLLロード

攻撃者はリフレクティブDLLインジェクションを使用して、悪意のあるDLLをディスクに書き込むことなくメモリにロードします。これにより、フォレンジック・アーティファクトが最小限に抑えられ、ペイロードがメモリ内で実行されるため、ファイルベースの検出メカニズムを回避することができます。

ディスクに触れることなくC#をインライン実行

BRC4は、リフレクティブまたはインライン実行メソッドを使用して、C#ペイロードを完全にメモリ内で実行できます。これにより、攻撃者は実行可能ファイルをディスクに書き込むことなく、認証情報取得ツールや偵察ユーティリティなどの.NETベースのツールやスクリプトを実行できるため、検知される可能性が低くなります。

BRC4のプロセス・インジェクション機能のスクリーンショット
BRC4のプロセス・インジェクション機能のスクリーンショット

5.度重なる検出を避ける

攻撃者は、防御者がペイロードをキャプチャ、再生、分析することを困難にすることで、露出を減らします:

ワンタイム認証キー

BRC4は、各ペイロードにユニークな1回限りの認証キーを埋め込む。ペイロードが実行され、攻撃者のコマンド・アンド・コントロール・サーバーに接続されると、キーは無効になります。これにより、防御者がペイロードをキャプチャし、サンドボックス環境で再生して分析したり、繰り返される実行に基づいて検出シグネチャを生成したりすることを防ぎます。

ペイロードの再利用防止

BRC4は、使用済みの認証キーを無効にすることで、防御者や他の攻撃者が同じペイロードを再び使用できないようにします。これにより、防御者がリバースエンジニアリングを実行したり、キャプチャしたサンプルから信頼できる脅威インテリジェンスを構築したりする能力が制限されます。

フォレンジック分析の制限

すべてのペイロードは一意的にキー設定され、最初の使用後に失効するため、防衛側はライブ・サンプルに対して静的または動的解析を行う上で大きな課題に直面し、シグネチャ・ベースの手法ではなく、振る舞い 検出に頼らざるを得なくなる。

ワンタイム認証機能を示すBRC4のスクリーンショット
ワンタイム認証機能を示すBRC4のスクリーンショット

ブルート・ラテル vsCobalt Strike

Brute RatelとCobalt Strike 、ペイロードの生成、コマンド・アンド・コントロール機能、エクスプロイト後のツール機能など、ほぼ同じ範囲の攻撃的なセキュリティ機能を提供するが、そのアーキテクチャと回避方法は大きく異なる。

2012年に初めてリリースされたCobalt Strike、レッドチーム運用の業界標準となったが、もともとは最新のEDRを念頭に置いて設計されたものではない。2020年にリリースされたBrute Ratelは、現代のEDRやアンチウイルス・ソリューションを回避することを目的に作られた。

導入当初、BRC4は防御ツールには比較的知られていなかったため、ほとんどのセキュリティ製品をバイパスすることができました。現在では、ほとんどのEDRベンダーが適応し、BRC4アクティビティ用の検出シグネチャを搭載しています。

Vectra AIがブルートラテル操作を検出する方法

Vectra AIは、MITRE ATT&CK フレームワークにマッピングされた攻撃者の戦術、テクニック、手順を分析することで、攻撃チェーンのあらゆるフェーズでBRC4の行動を検出します。これには、malware シグネチャや既知の侵害指標(IOC)を超える動作の検出も含まれます。

Vectra AIは、Brute Ratelを含め、使用されている特定のツールに関係なく、実際の攻撃者の行動を反映する以下のようなリスクの高い活動に焦点を当てています:

  • 特権の異常: 通常とは異なる ID の使用や特権の昇格を検出します。
  • 疑わしいリモート実行: SMB、WMI、サービス操作による横方向の動きを特定します。
  • 隠されたC2トンネル HTTP/S、DNS、またはDoHを使用した秘密のビーコンを発見します。
  • クレデンシャルの不正使用: Kerberoasting トークンのなりすましを発見。
  • データ流出とランサムウェア:大量のデータ盗難とファイル暗号化の活動を検出します。

MITRE ATT&CK Frameworkに関するVectra AIの報道

守備力を試す準備はできているか?

ブルートラテルのようなツールを活用した攻撃に備える最善の方法は、攻撃型セキュリティ評価です。当社の専門家がお客様の環境でこれらのテクニックをシミュレートし、防御を検証し、検出とレスポンス 能力を向上させるお手伝いをします。アセスメントのご予約はこちらから!

よくあるご質問(FAQ)