Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW
最新レポート

Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

攻撃者が Brute Ratel(BRC4)を悪用する方法

2025年5月14日
Lucie Cardiet
サイバー脅威リサーチマネージャー
攻撃者が Brute Ratel(BRC4)を悪用する方法

セキュリティチームは現在、新世代の攻撃ツールに直面しています。その中でも Brute Ratel C4(BRC4)は特に注目されています。もともとはレッドチーム演習やセキュリティテストを目的に開発された BRC4 ですが、その強力な回避機能と攻撃の自動化により、実際の攻撃者たちにとって魅力的なツールとなっています。ここでは、BRC4 について知っておくべきポイントをご紹介します。

Brute Ratelとは?

Brute Ratelは 、Chetan Nayak氏によって開発されたポストエクスプロイトおよびコマンド&コントロール(C2)フレームワークであり、高度な攻撃者の振る舞いをシミュレートするために使用されます。主な機能は以下のとおりです。

  1. ステルス性と回避性能:ユーザーランドフックの除去、メモリの暗号化、スリープマスキングなどにより、EDR による検知を困難にします。
  2. カスタムペイロード生成:EXE、DLL、シェルコードに対応し、HTTP/S、DNS、SMB、DoH を使った柔軟なビーコン通信が可能です。
  3. 堅牢なエージェント管理:「Badgers」と呼ばれるエージェントを使ってコマンドを実行します。
  4. ファイルレス運用:完全にメモリ上で動作し、フォレンジック証拠をほとんど残しません。
  5. 高度にカスタマイズ可能な攻撃プロファイル:正規の通信を装った独自プロファイルで、悪意ある通信を隠します。

攻撃者による BRC4 の悪用方法

1.リスナーとマリアブルプロファイルの設定

攻撃者は、境界およびネットワークベースの検出を回避するために設計されたいくつかの難読化および回避テクニックを使用して、BRC4がHTTP/S経由で通信するように構成します。ローテーションドメインおよび IP オペレーターは、時間の経過とともにローテーションまたは変更される複数のドメイン名またはIPアドレスを設定し、静的な許可/ブロック リストおよび脅威インテリジェンスフィードの回避に役立ちます。

カスタム可能なプロファイル

攻撃者は、正規のWebトラフィックを模倣したJSON形式のリクエストとレスポンスを作成し、悪意のある通信を通常のネットワークノイズに紛れ込ませます。

カスタムHTTPヘッダー

オペレーターは、application/jsonなどのコンテンツタイプヘッダーを模倣するなど、独自のHTTPヘッダーを定義して、悪意のあるトラフィックを通常のAPIまたは Webサービス通信のように見せかけます。

複数のURIパス

BRC4では、一般的なWebリソース(例:/api/v1/data)に見せかけたランダム化または事前定義されたURLパスの使用が許可されているため、シグネチャベースの検知を回避する可能性が高まります。

フォールバック通信方法

1つの通信チャネルがブロックされた場合、攻撃者はペイロードを再構成することで、標的への再感染を起こさずに、別のドメインまたはC2サーバーにフェイルオーバーすることができます。

HTTPリスナーがセットアップされたBrute Ratelインターフェースのスクリーンショット
HTTPリスナーがセットアップされたBrute Ratelインターフェースのスクリーンショット

2.EDR回避

攻撃者は、BRC4 のいくつかの高度な回避機能を活用して、ランタイム セキュリティ メカニズムを回避し、検知を回避します。

ユーザーランドフックの除去

BRC4 は、EDR およびアンチウイルスソリューションによってユーザーモード API に配置されたフックを標的とします。これらのフックを主要な Windows API から除去することで、セキュリティソフトウェアによる挙動の検査やブロック機能を無効化し、アラートを発生させずに実行可能にします。

スリープマスキング

アイドル期間中、BRC4 はメモリ領域を暗号化・隠蔽し、メモリスキャナや EDR による静的または休止中ペイロードの検知を困難にします。これは、長時間実行されるプロセスの異常行動を監視するソリューションに特に有効です。

間接システムコール

BRC4 は、セキュリティツールが通常監視する Windows API を直接呼び出す代わりに、間接システムコールを使用して呼び出し経路を隠し、悪意ある動作のトレースや検知を困難にします。

スタックおよびスレッドのスプーフィング

BRC4 は、実行中のスレッドの実行コンテキストを操作し、スタックフレームやスレッド開始アドレスを偽装します。これにより、解析ツールやデバッガーは悪意ある活動を誤認または見逃す可能性があり、手動および自動の両方の分析を回避できます。

BRC4とCobalt Strike スレッドを比較したスクリーンショット
BRC4とCobalt Strike スレッドを比較したスクリーンショット

3. 認証情報の窃取とラテラルムーブメント

攻撃者は、BRC4を使用して、精密かつステルスに認証情報の窃取とラテラルムーブを実行します。

Kerberoasting 攻撃

BRC4 は、Active Directory 環境内のサービスプリンシパル名(SPN)を自動的に列挙し、Kerberos のチケット授与サービス(TGS)チケットを抽出します。これらのチケットはオフラインでクラックされ、平文のサービスアカウントパスワードを得ることができ、機密システムやサービスへの昇格アクセスが可能になります。

セッション・トークンの盗難

BRC4 は、アクティブなユーザーセッションから認証トークンをキャプチャして保存することができます。これらのトークンを再利用することで、攻撃者はドメイン管理者などの特権ユーザーをパスワードなしでなりすますことができ、権限の昇格をシームレスに行えます。

ステルス横移動

BRC4 は、以下の複数の横展開技術を提供します。

  • SC の流用:リモートホスト上の既存サービスを変更し、新規サービスを作成せずに攻撃者のペイロードを実行。検知リスクを低減。
  • SMB実行: 既存の管理共有を使用して、リモートシステム上でコマンドを実行。
  • PSExec風の実行:Microsoft の PSExec ツールに類似した手法で、追加のバイナリを使用せずにペイロードをリモートで展開。
  • WMI実行: Windows Management Instrumentation(WMI)を介してコマンドを実行。実行ファイルをディスクに書き込む必要がありません。
ペイロード・プロファイラを表示したBRC4インターフェースのスクリーンショット
ペイロード・プロファイラを表示したBRC4インターフェースのスクリーンショット

4.プロセスインジェクションとメモリ技術

BRC4 は、高度なプロセスおよびメモリ操作技術を活用することで、ステルスかつ回避的に悪意あるコードを実行します。

信頼されたプロセスへのシェルコードインジェクション

BRC4 は、explorer.exe や svchost.exe などの正規のシステムまたはユーザープロセスのメモリ空間に、シェルコードを直接インジェクションすることができます。これにより、攻撃者のコードは信頼されたアプリケーションのふりをして実行され、セキュリティツールによる検出が非常に困難になります。

ステルスな実行のためのリフレクティブ DLL ローディング

攻撃者は、リフレクティブ DLL インジェクションを利用して、悪意ある DLL をディスクに書き込むことなくメモリ上にロードします。これにより、フォレンジック上の痕跡を最小限に抑え、ファイルベースの検知メカニズムを回避することが可能になります。

ディスクに触れずに C# をインライン実行

BRC4 は、リフレクティブまたはインライン実行手法を使用して、C# ペイロードを完全にメモリ上で実行することができます。これにより、認証情報収集ツールや偵察用スクリプトなど、.NET ベースのツールをディスクに書き込まずに実行でき、検出の可能性が大幅に減少します。

BRC4のプロセス・インジェクション機能のスクリーンショット
BRC4のプロセス・インジェクション機能のスクリーンショット

5.繰り返し検知を回避するための手法

攻撃者は、防御側によるペイロードのキャプチャ、再実行、分析を困難にすることで、露出を最小限に抑えます。

ワンタイム認証キー

BRC4 は、各ペイロードにユニークなワンタイム認証キーを埋め込みます。ペイロードが実行され、攻撃者のコマンド・アンド・コントロールサーバーへ接続されると、そのキーは無効化されます。これにより、防御側がペイロードをキャプチャしてサンドボックス環境で再実行したり、繰り返しの実行に基づいた検知シグネチャを作成することが不可能になります。

ペイロードの再利用防止

使用済み認証キーを無効にすることで、BRC4 は同一のペイロードが防御側や他の攻撃者によって再利用されるのを防ぎます。これにより、防御側によるリバースエンジニアリングや信頼できる脅威インテリジェンスの構築が制限されます。

フォレンジック分析の制限

すべてのペイロードが一意のキーで署名されており、初回実行後に無効化されるため、防御側がライブサンプルに対して静的・動的解析を行うことは非常に困難になります。これにより、防御はシグネチャベースではなく、行動ベースの検知に依存することを強いられます。

ワンタイム認証機能を示すBRC4のスクリーンショット
ワンタイム認証機能を示すBRC4のスクリーンショット

Brute Ratel vs Cobalt Strike

Brute RatelとCobalt Strikeは、ペイロード生成、コマンド・アンド・コントロール機能、ポストエクスプロイトツールといったほぼ同様の攻撃機能を提供しますが、そのアーキテクチャと回避手法には大きな違いがあります。

Cobalt Strikeは2012年に初めてリリースされ、レッドチーム活動における業界標準となりましたが、当時の設計は現代のEDRを考慮していませんでした。一方、2020年にリリースされたBrute Ratelは、現代のEDRおよびアンチウイルスソリューションを回避するために特別に設計されています。

BRC4が最初に登場した際には、防御ツールにとってほとんど未知の存在であったため、ほぼすべてのセキュリティ製品を回避することができました。現在では、多くのEDRベンダーがBRC4のアクティビティに対する検知シグネチャを備えるようになっています。

Vectra AIによるBrute Ratelの検知

Vectra AI は、MITRE ATT&CK フレームワークにマッピングされた攻撃者の戦術、技術、手順を分析することにより、攻撃チェーンのあらゆるフェーズにおける BRC4 の挙動を検知します。これには、マルウェアシグネチャや既知の侵害指標(IOC)を超えた挙動の検知が含まれます。

Vectra AI は、使用される具体的なツールに関係なく、以下のような実際の攻撃者の振る舞いを反映する高リスクアクティビティに注目しています。

  • 特権の異常: 通常とは異なる ID の使用や特権の昇格を検出します。
  • 疑わしいリモート実行: SMB、WMI、サービス操作による横方向の動きを特定します。
  • 隠されたC2トンネル HTTP/S、DNS、またはDoHを使用した秘密のビーコンを発見します。
  • クレデンシャルの不正使用: Kerberoasting トークンのなりすましを発見。
  • データ流出とランサムウェア:大量のデータ盗難とファイル暗号化の活動を検出します。

Vectra AI による MITRE ATT&CK フレームワークのカバレッジ

防御力をテストする準備はできていますか?

Brute Ratelのようなツールを用いた攻撃に備える最良の方法は「オフェンシブセキュリティアセスメント」を実施することです。弊社の専門家が、これらの技術をお客様の環境内でシミュレーションし、防御体制の検証と検知・対応能力の強化を支援いたします。アセスメントのご予約はこちらからお願いします。

よくあるご質問(FAQ)