보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] 구글, Cobalt Strike 공격 탐지를 위한 165개의 YARA Rule 공개

2022-11-23

Google Cloud Threat Intelligence(이하 GCTI) 팀은 보안관리자가 네트워크에서 Cobalt Strike의 구성 요소를 탐지하는 데 도움이 되는 오픈 소스 YARA  규칙과 VirusTotal 침해 지표(IOC) 컬렉션을 보유하고 있습니다.

 

또한 GCTI팀은 탐지 서명을 사용해 배포된 Cobalt Strike 버전을 식별할 수 있습니다. 

 

GCTI 보안 엔지니어인  그렉 싱클레어(Greg Sinclair)는 “커뮤니티가 Cobalt Strike의 구성 요소와 각 버전을 식별하고 플래그를 지정하는데 도움이 되도록 open-source YARA Rules과  VirusTotal Collection을 커뮤니티에 공개했습니다.

 

"Cobalt Strike의 버전을 정확하게 탐지하는 것이 공격자 행위와 일반 사용자 행위를 구분하는데 중요한 요소라고 판단했습니다. Cobalt Strike의 일부 버전은 공격자들에게 남용되어 사용되고 있기 때문입니다."

 

이렇게 하면 정상적인 배포와 공격자가 제어하는 비정상적 배포를 쉽게 구분할 수 있으므로 Cobalt Strike 릴리스(유출 및 크랙된 버전)를 대상으로 하여 악의적인 공격 활동을 보다 효과적으로 탐지할 수 있습니다.

 

Google이 설명했듯이 크랙 및 유출된 Cobalt Strike 릴리스는 대부분의 경우 현재 업데이트된 버전보다 이전 버전이었으며, GCTI팀은 야생에서 사용되는 수백 개의 스테이저, 템플릿, 비콘 샘플을 수집하여 YARA 기반 탐지 규칙을 구축할 수 있었습니다.

 

Sinclair는 "우리의 목표는 Cobalt Strike 버전을 정확히 찾아내는 신뢰도 높은 탐지 규칙을 만드는 것이었습니다. 가능할 때마다 우리는 Cobalt Strike 구성 요소의 특정 버전을 탐지하기 위해 서명을 구축했습니다."라고 덧붙였습니다.

 

또한, Google은 공격자들이 Cobalt Strike의 대안으로 채택하고 있는 Sliver(보안 테스트용으로 설계된 합법적인 오픈 소스 에뮬레이션 프레임워크) 도구에 대한 탐지 서명 모음을 공유했습니다.

 

[그림 1] Cobalt Strike 인프라 설정 (출처 : Google)

 

Fortra(HelpSystems에서 Fortra로 리브랜딩)에서 제작한 Cobalt Strike는 2012년부터 개발되어온 합법적인 침투 테스트 도구입니다. Cobalt Strike는 조직의 인프라를 스캔하여 취약성과 보안 격차를 찾는 레드팀을 위한 공격 프레임워크입니다.

 

Cobalt Strike의 크랙된 복사본이 공격자들에 의해 공유되면서 Cobalt Strike는 데이터 유출 및 랜섬웨어 등의 사이버 공격에 사용되는 가장 일반적인 도구 중 하나가 되었습니다. 공격자는 피해 시스템에 지속해서 원격 접근하기 위해 Cobalt Strike 비콘을 배포하고 중요한 데이터를 수집하거나 멀웨어 페이로드를 추가로 배포할 수 있습니다.

 

보안 회사 Intezer의 연구원들은 공격자들이 Cobalt Strike와 호환되는 자체 Linux 비콘(Vermilion Strike)을 개발하여 사용(2021년 8월부터)하고, Windows, Linux 시스템에서 지속성과 원격 명령 실행을 확보하고 있음을 밝혔습니다.

 

출처

[1] GCTI's Open Source Detection Signatures(165 YARA Rules)

https://github.com/chronicle/GCTI 

[2] VirusTotal Collection

https://blog.virustotal.com/2021/11/introducing-virustotal-collections.html

[3] Making Cobalt Strike harder for threat actors to abuse

https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse?hl=en 

[4] Vermilion Strike: Linux and Windows Re-implementation of Cobalt Strike

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/ 

 

보안관제센터 MIR Team

목록