지난 달 칠레 육군(Ejército de Chile) 은 Rhysida 로 알려진 코발트 스트라이크 랜섬웨어 공격으로 인해 군 문서가 다크웹에 유출되는 피해를 입었다. Rhysida 랜섬웨어 갱단은 칠레 육군의 네트워크에서 문서의 약 30%인 36만개를 훔치고 다크웹 데이터 유출 사이트에 훔친 파일들을 공개했다. 이번 랜섬웨어는 코발트 스트라이크(Cobalt Strike)와 C2 프레임워크 배포를 통한 피싱 공격으로부터 네트워크에 침투한 것으로 추정되며, 공격에 사용된 멀웨어를 실행하면 접속자의 파일을 암호화하여 “CriticalBreachDetected.pdf” 라는 PDF 랜섬 노트가 보여진다. 군 문서는 국가 기밀에 준하는 민감 정보이기 때문에 코발트 스트라이크와 C2 서버 악용을 통한 랜섬웨어의 심각성을 보여주는 사례로 볼 수 있다.

이전 Cobalt Strike 악성코드 탐지 방법 글에서도 다룬 적 있는 코발트 스트라이크(Cobalt Strike)란 원래 C2 서버를 구축하는 상용 모의해킹 도구이다. 고유의 C2 서버를 구축할 수 있다는 특징 때문에 종종 랜섬웨어와 PC 감염 공격에 악용되기도 한다. OSINT 사이버보안 검색엔진 Criminal IP에서는 악용된 코발트 스트라이크에 감염된 IP 주소를 찾을 수 있고, 해당 IP 주소가 Critical 위험도로 판별된 상세 이유를 확인할 수 있다. 이번 글에서는 Rhysida 랜섬웨어와 같이 코발트 스트라이크와 C2 서버를 악용한 악성코드 및 랜섬웨어에 감염된 IP 주소를 살펴볼 예정이다.

코발트 스트라이크 랜섬웨어 및 악성코드에 감염된 IP 주소 탐지

Criminal IP에서 Tag 검색으로 코발트 스트라이크를 검색하면 일반적으로 C2 서버에 사용되는 봇넷들이 검색된다. 

Search Query: tag: cobalt strike

위협 인텔리전스 검색엔진 Criminal IP에 “tag: cobalt strike”를 검색한 결과

검색 결과 대부분이 인바운드 및 아웃바운드 스코어링이 모두 Critical로 표시되어 있는 것을 볼 수 있다. 물론, 코발트 스트라이크를 사용한다는 이유로 위험한 IP 주소로 판별되지는 않고, 복합적인 정보를 바탕으로 스코어링이 정해진다. 예를 들어, Snort 룰 혹은 MISP와 같은 Reputation에서 악성으로 판별된 IP 주소들은 코발트 스트라이크가 악용된 멀웨어일 가능성이 높은데, tag: cobalt strike 에 snort_rule: C2 필터를 추가하여 검색하면 C2서버를 악용해 악의적인 네트워크 활동에 해당하는 IP 주소를 검색할 수 있다.

Search Query: tag: cobalt strike snort_rule: C2

위협 인텔리전스 검색엔진 Criminal IP에 “tag: cobalt strike snort_rule: C2”를 검색한 결과

코발트 스트라이크 랜섬웨어 및 악성코드에 감염된 IP 주소의 상세정보

조금 더 자세히 코발트 스트라이크 랜섬웨어 및 악성코드에 감염된 IP 주소를 확인해 보고자 검색 결과 중 하나를 클릭해 상세정보를 확인해보았다. 위에 언급되었던 외부 평판 정보가 해당 IP 주소에서도 탐지된 것을 볼 수 있었다. Snort의 IDS(침입 탐지 시스템)에서 코발트 스트라이크 C2 서버의 접근이 탐지되었다는 의미이다.

코발트 스트라이크 랜섬웨어: Snort의 IDS(침입 탐지 시스템)에서 접근이 탐지된 코발트 스트라이크 C2 서버
Snort의 IDS(침입 탐지 시스템)에서 접근이 탐지된 코발트 스트라이크 C2 서버

또한, 해당 IP 주소는 피싱 도메인에 연결된 이력이 있어 Connected Domains와 Abuse Record 부분에서 해당 IP 주소가 불법적 활동 및 불법 서비스와 연관되어 있다는 것을 확인할 수 있었다.

코발트 스트라이크 랜섬웨어: 피싱 도메인과 연결된 이력이 있는 코발트 스트라이크 악성코드 감염 IP 주소
피싱 도메인과 연결된 이력이 있는 코발트 스트라이크 악성코드 감염 IP 주소

게다가 해당 IP 주소에서 발견된 오픈포트의 배너를 살펴보면 HTTP, HTTPS와 통신한 비콘(Beacon) 이 탐지된 것을 알 수 있다. 비콘은 코발트 스트라이크의 공격 명령을 수행하는 에이전트로 실질적인 악성코드라고 볼 수 있다.

코발트 스트라이크 랜섬웨어: 코발트 스트라이크의 비콘 악성코드가 탐지된 오픈포트
코발트 스트라이크의 비콘 악성코드가 탐지된 오픈포트

위협 인텔리전스 연동을 통한 코발트 스트라이크 랜섬웨어 및 악성코드 예방

코발트 스트라이크 랜섬웨어와 악성코드에 감염된 IP 주소가 공인된 보안 기관이나 서비스 제공업체에 의해 블랙리스트로 지정되어 있는 경우, 블랙리스트 DB를 방화벽이나 기존 보안 솔루션에 연동함으로써 해당 IP 주소의 접근을 탐지하고 차단할 수 있다. 하지만 아직 블랙리스트에 등록되어 있지 않은 새로운 감염 IP 주소의 경우, 블랙리스트 DB를 연동하더라도 실질적인 차단은 어려울 수 있다. 

반면, Criminal IP의 위협 인텔리전스(Threat intelligence, TI)는 기존 블랙리스트 정보를 제공하는 것 뿐만 아니라 실시간 분석으로 기존 블랙리스트에 없는 새로운 감염 IP 주소, 악성 IP 주소도 업데이트한다는 강점이 있다. 따라서, 방화벽 혹은 IPS, SOAR 등 사용 중인 보안 솔루션에 Criminal IP의 TI 데이터를 연동하면 블랙리스트 DB에 등록되어 있는 IP 주소가 아니더라도 코발트 스트라이크 랜섬웨어에 감염된 사이트 및 IP 주소의 아웃바운드 접근을 차단하고 사이버 위협을 예방하는 데 큰 도움이 된다.

관련하여 Cobalt Strike 악성코드 (봇넷 서버) 에 감염된 서버를 탐지하는 방법에 관한 영상을 참고해도 좋다.

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 영상 :