Brute Ratel C4について

Brute Ratel C4は、レッドチーム運用と攻撃者シミュレーション向けに設計された高度なコマンド＆コントロール（C2）フレームワークです。ステルス性の高い運用を可能にし、検知メカニズムを回避し、高度な脅威シナリオをシミュレートするための多様なツールを運用者に提供する包括的な機能を備えています。

Brute Ratel C4の主な機能

1. DNS Over HTTPS (DoH) 通信

代替通信チャネルとしてDNS over HTTPSを組み込んでいます。この機能により、ドメインフロンティングやリダイレクターを必要とせずに、新しく取得したドメインを利用できます。

• HTTPSプロファイルをその場で切り替え可能
• 回復力のある隠密な通信チャネルを確保

2. 外部C2チャネル

Slack、Discord、Microsoft Teamsなどの正規のプラットフォーム上でカスタム外部C2チャネルの作成をサポート。

• 通常のネットワークトラフィックに紛れ込む通信経路を確立
• 検知される可能性を低減

3. 間接的なシステムコール

「Badger」エージェントによる様々なプロセスインジェクション機能を提供。

• WinAPI、NTAPI、直接的なシステムコールの動的切り替え
• EDRシステムのユーザーランドフックを回避

4. EDRユーザーランドフック検知用の組み込みデバッガー

Badgerエージェントに搭載された高度な検知・回避技術。

• システムコールの難読化とデバッグ手法の活用
• セキュリティメカニズムのトリガーリスクを最小化

5. 統合されたMITRE ATT&CKフレームワーク

すべての組み込みコマンドにMITRE ATT&CKフレームワークを統合。

• ユーザーフレンドリーな攻撃者シミュレーションインターフェース
• 既知の戦術、テクニック、手順（TTPs）へのマッピング機能

6. LDAPセンチネル

豊富なグラフィカルユーザーインターフェース（GUI）によるLDAPクエリ実行機能。

• SPNクエリの効率的な実行
• 大規模グループオブジェクトへのクエリ機能

7. 複数のコマンド＆コントロールチャネル

多様なピボットオプションを提供するBadgerエージェント。

• SMB、TCP、WMI、WinRMによる制御
• RPCを介したリモートサービス管理

8. TTPs自動化機能

既存モジュールの利用や独自モジュールの開発が可能。

• C#、BOF、PowerShellスクリプトのメモリ内実行
• Click Script機能による自動化

9. 高度な回避機能

包括的な回避技術スイートを搭載。

• スタックフレームチェーニング（x64アーキテクチャ対応）
• 間接的なシステムコール実装
• メモリ隠蔽技術の活用
• EDRフックとDLLのアンフック機能
• スレッドとヒープの暗号化
• モジュールストンピングとPEBフッキング

10. アンマネージド実行ファイルのリフレクティブ実行

ディスクに書き込むことなくメモリ内で実行可能。

• MimikatzやSysinternalsユーティリティの直接実行
• ファイルベースのセキュリティ対策を回避

11. UDPサポート付きSOCKSプロキシ

SOCKS4aとSOCKS5プロトコルの包括的サポート。

• UDPやDNS解決機能を統合
• 複雑なネットワーク運用をサポート

12. Windows Remote Management（WinRM）ピボット

WinRMを介した高度なピボット機能。

• ネイティブWindowsプロトコルの活用
• 低プロファイルな横断的移動を実現

13. PowerShellペイロード生成

高度なペイロード生成機能を搭載。

• メモリ内でのシェルコード実行
• ネイティブメソッドを活用した実行機能