2021년 2분기 ASEC Report에서는 기업 및 기관의 네트워크와 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용되는 상용 침투 테스트 도구로 잘 알려진 ‘코발트 스트라이크(Cobalt Strike)’의 공격 방식 및 단계별 특징을 소개하였습니다. 더 나아가 2021년 2분기까지 발견된 코발트 스트라이크를 이용한 실제 랜섬웨어 공격 사례들을 침투 테스트 단계별로 면밀히 살펴보았습니다.
2021년 2분기 ASEC Report 주요 내용
< 코발트 스트라이크(Cobalt Strike) 분석 보고서 > 킬체인부터 랜섬웨어까지, 2021 코발트 스트라이크 종합분석
1. 코발트 스트라이크 공격 흐름 2. 코발트 스트라이크를 활용한 사이버 공격 킬 체인(Kill Chain) 3. 코발트 스트라이크 공격 사례 4. 코발트 스트라이크를 이용한 랜섬웨어 사례 5. 결론 |
기업 및 기관의 네트워크와 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 상용 침투 테스트 도구로 잘 알려진 일명 ‘코발트 스트라이크(Cobalt Strike)’는 침투 테스트 단계별로 다양한 기능들을 지원하는 것이 가장 큰 특징이다. 하지만 코발트 스트라이크의 크랙 버전이 공개되어 다수의 공격자들에 의해 악성코드로써 악용되고 있다. 특히 최근에는 국내 기업들을 대상으로 하는 랜섬웨어 공격에서, 공격자들이 내부 시스템 장악을 위한 중간 단계로 코발트 스트라이크를 악용하는 사례가 다수 발견되었다.
코발트 스트라이크는 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 측면 이동(Lateral Movement)를 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 또한 다양한 세부 설정이 가능하며, 한 단계 더 나아가 써드 파티 모듈(Third-Party Module)이라는 확장성까지 제공하고 있다. 따라서 코발트 스트라이크를 이용한 공격을 분석하고 방어하기 위해서는 코발트 스트라이크가 제공하는 다양한 기능뿐만 아니라 탐지를 회피할 수 있는 여러 기법들로 인한 다방면의 가능성까지 모두 고려해야 할 필요가 있다.
이번 보고서에서는 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 추적•분석한 내용을 바탕으로 코발트 스트라이크의 공격 방식 및 단계별 특징을 소개한다. 이와 함께 2021년 2분기까지 발견된 코발트 스트라이크를 이용한 실제 랜섬웨어 공격 사례들에 대해 면밀히 살펴보고자 한다.
2021년 2분기 ASEC Report 전문은 PDF 파일을 통해 제공되고 있습니다.
▶ 2021년 2분기 ASEC Report PDF 파일 다운로드
출처 : ASEC Report | AhnLab
