[Malware] Cobalt Strike

Cobalt Strike는 사용 침투 테스팅 도구이며, 본 목적은 공격 시뮬레이션을 수행하는 소프트웨어이다.

 

보안전문가에 의해 합법적인 목적으로도 사용되지만, Crack버전을 활용해 실제 공격에도 사용되기에 단순히 악성코드로 보기에는 어렵다.

 

Cobalt Strike는 크게 Beacon, Listener, Team Server(C&C 서버) 3가지로 구성되어 있다.

 

주로 분석하는 유형은 Beacon이다. Beacon은 공격 기능을 수행하는 Payload 이름이다.

Beacon은 여러 악성코드와 마찬가지로 문서 파일 및 다양한 경로를 통해 설치된다.

 

Beacon의 공격 기능으로는 PowerShell Script 실행, InfoStealer(Key Logger, Screen Shot, 파일 전송), SOCKS Proxying, 권한 상승 등이 있다.

 

 

통신하는 방법에 따라 DNS Beacon, HTTP/HTTPS Beacon, TCP Beacon, SMB Beacon으로 분류한다.

 

최근에는 Stageless 형태의 Cobalt Strike가 유포되고 있는데, 이는 파일 내에 Beacon이 포함되어 진단을 우회하는 형태의 공격기법이다. Beacon이 파일 내에 포함되어 유포되는 악성코드는 메모리 진단 우회를 위해 다양한 방법으로 데이터 섹션을 패킹 및 인코딩한다. 이러한 데이터 섹션은 디코딩 후 다른 파일이나 프로세스에 인젝션되어 RWX 권한을 가진채 실행될 수 있다.