침투 테스팅 도구로 사용되는 코발트 스트라이크 (Cobalt Strike) 가 악의적인 공격자들에 의해 랜섬웨어 공격 혹은 내부 시스템으로의 침입을 목적으로 악용되는 사례가 종종 발생한다. 주로 봇넷을 활용해 Cobalt Strike 악성코드 를 배포하고 랜섬웨어와 PC 감염 공격을 자행하는 경로로 이루어진다. 이 글에서는 합법적이거나 악의적인 이유로 Cobalt Strike에 감염된 서버를 Criminal IP 검색엔진으로 찾는 방법을 다룬다.
Cobalt Strike 악성코드 란?
Cobalt Strike 는 유료 침투테스팅 도구로, 많은 Red Team이 공격 시뮬레이션 소프트웨어로 사용한다.

하지만 모든 이들이 합법적으로 Cobalt Strike를 사용하지는 않는다. 사이버 공격자들은 다크웹에서 공유되는 해적판 Cobalt Strike를 실제 공격 행위에 악용한다. 때문에, Cobalt Strike는 침투테스팅 도구이면서 심각한 악성코드로 분류되기도 한다.
이렇듯 Cobalt Strike는 일반적인 악성코드와 달리 합법적으로 배포되는 경우도 있어 공격을 감지하기 더욱 어렵다. 최근에는 Google Cloud Threat Intelligence 팀이 Cobalt Strike 공격을 탐지하는 오픈소스 YARA 규칙을 공개하기도 했다.
Cobalt Strike 악성코드 감염된 BotNet 서버 탐지
오픈소스 규칙에 따라 Cobalt Strike 공격 탐지를 수행할 수 있지만, 더 간단히 Cobalt Strike에 감염된 서버를 찾아내는 방법이 있다. Criminal IP 의 Asset Search에 Tag 필터를 사용하면 된다.
Search Query : “tag: Cobalt Strike”

검색 결과, 외부에 연결된 서버 중 Cobalt Strike에 감염된 서버는 총 102개로 탐지 되었다. 이 102개의 서버는 이미 Cobalt Strike에 감염된 봇넷서버로 볼 수 있다.
물론 합법적으로 사용된 Cobalt Strike가 포함되어있을 수 있어 모두 공격으로 판단할 수는 없지만 검색된 서버들은 내부 시스템으로의 접속을 허용하고 있거나 랜섬웨어 감염 가능성이 높은 서버라고 볼 수 있다.
Cobalt Strike 감염 서버 국가 통계, 1위는 중국
Cobalt Strike에 감염되어 있는 봇넷서버가 가장 많은 국가는 중국으로, 전체 중 54개 이다.

또한, 아래와 같이 감염된 봇넷 서버의 Port 통계는 대부분 80 포트, 8080 포트로 탐지 되었다.

Cobalt Strike Beacon에 감염된 봇넷 서버의 IP Intelligence
Cobalt Strike 로 인해 Beacon 악성코드가 설치되어있는 봇넷 IP 주소를 Criminal IP Asset Search에 검색해 IP Intelligence를 추가로 분석할 수 있다.

해당 IP 주소는 Inbound 위협 점수가 99% Critical로 판단되었다. 이미 공격에 사용했거나, 사용될 수 있기 때문이다.
Cobalt Strike 태그로 분류된 TCP 80 포트의 배너 정보를 보면 Cobalt Strike에 대한 정보를 확인할 수 있다.

이처럼 간단히 Criminal IP를 활용해 Cobalt Strike 악성코드에 감염된 서버를 찾을 수 있다. 검색엔진 또는 API로 자동 탐지 가능하며, 이는 특정 서버의 감염 여부를 체크 및 Inbound IP 차단 블랙리스트에 감염된 봇넷 서버를 추가하기 위해 사용할 수 있다.
관련하여 암호화폐 채굴 악성코드에 감염된 채굴봇 서버 탐지 방법 및 분석 글을 참고해도 좋다.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko)
관련 글 :
댓글 남기기