Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향진행중인 공격에 사용되는 해커 제작 Linux Cobalt Strike Beacon
작성일 2021-09-14 조회 69

 

 

알려지지 않은 위협 행위자가 처음부터 만든 비공식 Cobalt Strike Beacon Linux 버전이 전 세계 조직을 대상으로 하는 공격에 적극 활용되면서 보안 연구원에 의해 포착됐다.


Cobalt Strike는 레드 팀(보안 격차와 취약점을 발견하기 위해 조직의 인프라에서 공격자 역할을 하는 보안 전문가 그룹)을 위한 공격 프레임워크로 설계된 합법적인 침투 테스트 도구이다.

 

Coald Strike는 일명 비콘(beacon)을 배치한 후 공격 후 작업에 위협 행위자(일반적으로 랜섬웨어 공격에서 떨어짐)가 사용하기도 하는데, 비콘을 사용하면 공격자는 나중에 침입한 서버에 접속해 데이터를 수집하거나 악성 프로그램 페이로드를 추가로 배치할 수 있다.

 

시간이 지남에 따라 Cobalt Strike의  균열된 복사본은 위협 행위자들에 의해 입수되고 공유되어 데이터 도난과 랜섬웨어로 이어지는 사이버 공격에 사용되는 가장 일반적인 도구 중 하나가 되었으나Cobalt Strike는 Windows 장치만 지원하고 Linux 비콘은 포함하지 않는 등 항상 약점이 있었다.

 

보안업체 Intezer의 새로운 보고서에서 연구진은 위협 행위자들이 Cobalt Strike와 호환되는 Linux 비콘을 만들기 위해 어떤 행동을 취했는지 설명한다.

 

이러한 비콘을 사용하여 위협 행위자는 이제 Windows와 Linux 컴퓨터 모두에서 지속성과 원격 명령을 실행할 수 있다.

 

지난 8월에 비컨 재구현을 처음 발견하고 이를 Vermilion Strike라고 명명한 Intezer 연구진은 그들이 발견한 Cobalt Strike ELF 바이너리가 현재 맬웨어 방지 솔루션에 의해 완전히 탐지되지 않는다고 말했다.

 

Vermilion Strike는 공식 Windows 비콘과 동일한 구성 형식으로 제공되며 모든 Cobalt Strike 서버와 통신할 수 있지만 Cobalt Strike의 코드를 전혀 사용하지 않는다.

 

이 새로운 Linux 악성코드는 또한 동일한 개발자를 암시하는 Windows DLL 파일과 기술적인 중복(동일한 기능 및 명령 및 제어 서버)을 가지고 있다.

 

 

 

[그림 1. Vermilion Strike 구성 해독 함수 비교(Intezer)]

 

 

Intezer는 "몰래 채취한 샘플은 C2 서버와 통신할 때 Cobalt Strike의 명령 및 제어(C2) 프로토콜을 사용하며 파일 업로드, 셸 명령 실행, 파일에 쓰기 등의 원격 액세스 기능을 갖고 있다"고 설명했다.

 

"악성코드는 이 글을 쓰는 시점에 VirusTotal에서 완전히 탐지되지 않았으며 말레이시아에서 업로드되었다."

Vermilion Strike는 손상된 Linux 시스템에 배포된 후 다음과 같은 작업을 수행할 수 있다.

 

작업 디렉토리 변경

현재 작업 디렉터리 가져오기

파일에 추가/쓰기

C2로 파일 업로드

popen을 통해 명령 실행

디스크 파티션 가져오기

파일 나열

 

McAfee Enterprise ATR에서 제공하는 원격 측정 데이터를 사용하여 Intezer는 2021년 8월부터 Vermilion Strike를 사용하여 통신 회사 및 정부 기관에서 전 세계 IT 회사, 금융 기관 및 자문 회사에 이르는 다양한 산업 분야의 여러 조직을 발견했다.

 

Vermilion Strike는 지난 2년 동안 공개적으로 사용 가능한 오픈 소스 Go 기반 구현인 geacon과 함께 Linux에 대한 Cobalt Strike의 Beacon의 첫 번째 또는 유일한 포트가 아니라는 점도 언급할 가치가  있다.

 

그러나 Intezer는 "이것은 실제 공격에 사용된 최초의 Linux 구현이다"라고 말했으며, 불행히도 공격자가 Linux 시스템을 타깃으로 삼는 데 사용하는 초기 공격 벡터에 대한 정보는 없다.

 

Intezer는 "이 위협의 정교함, 스파이 활동을 하려는 의도, 다른 공격에서 이전에 볼 수 없었던 코드가 야생의 특정 엔티티를 대상으로 한다는 사실은 우리로 하여금 이 위협이 숙련된 위협 행위자에 의해 개발되었다고 믿게 한다"고 결론지었다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/hacker-made-linux-cobalt-strike-beacon-used-in-ongoing-attacks/

첨부파일 첨부파일이 없습니다.
태그 Cobalt Strike  Beacon