VS Code Dev Tunnels 분석을 통한 C2 인프라 구축 및 권한 탈취 기법

The Accidental C2 - Exploring Dev Tunnels for Remote Access

Mark02026년 5월 10일1분advanced

AI 요약

Context

표준 SSH와 차별화된 Microsoft Relay 기반의 복합 프로토콜 구조로 인한 원격 제어 가시성 부족. 단순 연결을 넘어 Entra ID 기반의 인증 체계를 활용한 비정상적 접근 경로의 존재 가능성 확인.

REST management, WebSocket tunneling, MsgPack RPC로 구성된 다층 프로토콜 분석을 통한 원격 명령 실행 체계 파악
Device Code Phishing 및 Entra ID의 FOCI, BroCI 기능을 이용한 Access Token 생성 및 Tunnel 진입 경로 확보
VS Code 내부 데이터베이스 내 Credential 추출을 통한 Lateral Movement 수행 가능성 검증
Rust 기반의 Ouroboros 도구를 설계하여 기존 Tunnel 인터랙션 및 원격 RPC 명령 실행 자동화 구현
LLM 기반 역공학 워크플로우를 도입하여 복잡한 코드베이스 분석 및 패치 생성 시간 단축

실천 포인트

1. Dev Tunnels 등 클라우드 릴레이 서비스의 외부 노출 범위와 인증 토큰 유효 기간 검토

2. Entra ID의 FOCI 및 Nested App Authentication 설정의 권한 오남용 가능성 점검

3. IDE 내부 저장소 내 민감 정보 저장 여부 및 접근 제어 정책 강화

태그