보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] Vermilion Strike, 기업을 대상으로 한 APT 공격에 적극 악용돼

2021-09-15

2021년 9월 13일, 비공식 Cobalt Strike Beacon의 Linux 버전인 Vermilion Strike가 전세계의 통신사, 정부 기관, IT 기업, 금융 기관 및 자문 회사 등을 대상으로 한 APT 공격에 적극 활용된 사실이 확인되었습니다.


Cobalt Strike는 레드팀을 위한 공격 프레임워크로 합법적인 침투 테스트 도구입니다. 감염된 시스템에 대해 지속적인 원격 접근을 제공하는 Beacon을 배치한 후, 공격자는 Beacon을 사용해 서버에 접근하고 데이터를 수집하거나 추가 악성 프로그램을 배포할 수 있습니다.


Cobalt Strike의 크랙버전이 공격자에 의해 공유되면서, Cobalt Strike는 데이터 탈취와 랜섬웨어 공격에 가장 많이 활용되는 도구가 되었습니다. 하지만, Cobalt Strike는 Windows 시스템만 지원하고 Linux 시스템은 지원하지 않는다는 제약이 있습니다.


Intezer 연구원들은 공격자들이 어떻게 Cobalt Strike와 호환되는 Linux beacon을 만들었는지 설명했습니다. Intezer 연구원들은 “Linux beacon을 사용하여 공격자들은 Windows와 Linux 시스템에서 지속적으로 원격 명령을 실행할 수 있다”라고 말했습니다.

 

Vermilion Strike

Vermilion Strike는 C2 서버와 통신할 때 Cobalt Strike의 C2(명령제어) 프로토콜을 사용하며, 파일 업로드, 쉘 명령 실행, 파일 쓰기 등의 원격 액세스 기능을 가지고 있습니다. 공식 Windows beacon과 동일한 구성 형식을 갖추고 있으며, 모든 Cobalt Strike 서버와 통신할 수 있지만 Cobalt Strike의 코드를 사용하지는 않습니다. 또한 Vermilion Strike는 Windows DLL 파일, 동일한 TTP와 C&C 서버로 보아 동일 개발자로 추정됩니다.

[그림 1] Vermilion Strike 구성 해독 함수 비교 (출처 : Intezer)


Vermilion Strike는 말레이시아에서 VirusTotal로 업로드 되었습니다.

[그림 2] ELF를 VirusTotal에 탐지한 결과 (출처 : virustotal)


Vermilion Strike는 Cobalt Strike 샘플과 같은 문자열을 가지며, 인코딩된 Cobalt Strike의 configuration을 탐지하는 YARA에 트리거됩니다. 발견된 악성 ELF 파일은 Red Hat Linux를 기반으로 동적 연결을 통해 OpenSSL을 사용합니다.

 


[그림 3] Intezer Analyze에서의 Vermilion Strike 분석 (출처 : Intezer)


Vermilion Strike Beacon이 수행할 수 있는 작업

손상된 Linux 시스템에 배포되면 아래와 같은 작업을 수행할 수 있습니다.

- 작업 디렉토리 변경

- 현재 작업 디렉토리 가져오기

- 파일에 추가/쓰기

- C2로 파일 업로드

- Popen을 통한 명령 실행

- 디스크 파티션 가져오기

- 파일 나열

 


탐지 방법

실제 공격에 사용된 최초의 Linux 버전인 Vermilion Strike과 관련해 공격자들이 Linux 시스템을 타깃으로 삼기위해 사용하는 초기 공격 벡터에 대한 정보는 없습니다. 하지만, 코드 재사용, TTP 및 문자열을 기반으로 Vermilion Strike를 탐지할 수 있습니다.

[그림 4] Intezer Analyze에서 Vermilion Strike의 Linux 버전에 대한 분석 (출처 : Intezer)


감염 시 대응 절차

1. 프로세스를 제거하고 멀웨어와 관련된 모든 파일을 삭제합니다.

2. 컴퓨터가 런타임 보안 플랫폼을 사용하여 신뢰할 수 있는 코드만 실행되고 있는지 확인하거나, Intezer Analyzer Endpoint Scanner for Windows 시스템을 사용합니다.

3. 소프트웨어와 보안 패치가 최신 상태인지 확인합니다.

 

IoCs

[ ELF ]

- 294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc


[ 비콘 ]

- 7129434afc1fec276525acfee5bb08923ccd9b32269638a54c7b452f5493492

- c49631db0b2e41125ccade68a0fe70939315f580510e40e5b30ead868f5

- 07b815cee2b85a41820cd8157a68faa1ed0aaa5f4093b8879a1d645a16273f

- e40370f463b4a4 2월2d515a3fb64af3523f039b2fd9e7a9d0a741ef89a5

- 3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc

- 294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc


[ C2 ]

- 160.202.163[.]100

- update.microsofthk[.]com

- update.microsoftkernel[.]com

- amazon.hksupd[.]com

 

(출처 :

https://www.bleepingcomputer.com/news/security/hacker-made-linux-cobalt-strike-beacon-used-in-ongoing-attacks/

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

https://vx-underground.org/samples/Families/Vermilion%20Strike/

)

 

 

보안관제센터 Team MIR

 

 

목록