본문 바로가기
IT

코발트 스트라이크 악성코드 탐지 주의해야 한다

by 얼리컴티 2023. 6. 22.
반응형

국내 기업 위협하는 악성코드 코발트 스트라이크에 대해서 살펴봤습니다.

예전은 물론, 지금도 악성코드라는 피해에 크게 시달리는 시기인 것 같습니다. 요즘에는 더 다양해진 방법으로 악성코드를 집어넣으면서 컴퓨터나 노트북, 핸드폰 등을 감염시키고 결국에는 여러 문제를 일으키기까지.. 다양한 문제점들이 가득한 바이러스라고 할 수 있겠습니다.

 

코발트 스트라이크는 하나의 멀웨어로서도 취급되고 있는 만큼 주의해야 합니다. 이러한 악성 코드는 실제로 보안 업계에서도 해결 방안이 잘 나오고 있지 않는 만큼, 적응에 미쳐가고 있다고 하며, 국내는 물론, 해외에서도 여러모로 당하고 있는 사례들이 많았던 만큼 위험합니다.

 

이러한 악성코드 감염을 막기 위해서는 많은 노력들이 필요하고 이에 대한 대응책을 마련할 필요도 있어보입니다. 그러나 요즘에는 다른 멀웨어들이 들어오고 있는 만큼 코발트 스트라이크라는 악성 코드에 대한 전성기가 저물고 있다고 하지만 그럼에도 이러한 현상을 겪을 수 있는 만큼 주의가 필요합니다.

 

그렇다면 이 코발트 스트라이크가 무엇인지에 대해서 이번 포스팅을 통해 상세히 살펴보도록 하겠습니다.

 

 

코발트 스트라이크는 주로 프로그램의 크랙 버전을 다운로드 받는 순간에 대부분 발생한다고 합니다. 침투 테스터와 보안 레드 팀이 실제 사이버 위협을 시뮬레이션하기 위해 사용하도록 만들어진 폭넓은 맞춤 구성이 가능한 공격 프레임워크로서, 단일 자바 아카이브 파일(JAR)로 배포되며 파일에는 공격 명령 서버인 팀 서버(Team Server), 서버와 상호작용하기 위한 그래픽 사용자 인터페이스를 갖추고 공격자 시스템에서 실행되는 클라이언트 등이 있습니다.

 

반응형


서버에는 공격자가 표적 시스템에서 셸코드를 실행하는 데 사용할 수 있는 자바스크립트, VBA 매크로, 파워셸의 다양한 템플릿도 포함된다고 하며, HTTPS, SMB, DNS 등 지원되는 여러 프로토콜 중 하나로 팀 서버에 연결해 비컨을 다운로드하여 침투한다고 합니다. 현재 시중에는 코발트 스트라이크 외의 다른 침투 테스트 프레임워크도 있고 사이버 범죄자들 역시 코발트 스트라이크만 사용하는 것은 아닙니다.

 

실제로 오픈소스 메타스플로잇 프레임워크(Metasploit Framework)와 미터프리터(Meterpreter) 임플란트는 코발트 스트라이크가 나오기 훨씬 전부터 악의적 공격에 사용됐다고 합니다. 실제로 코발트 스트라이크 자체도 메타스플로잇 프레임워크에 뿌리를 두며, 메타스플로잇 프레임워크를 위한 자바 기반 GUI 프론트 엔드인 아미티지(Armitage)의 파생 프로젝트로 출발했습니다.

 

 

실제로 코발트 스트라이크는 오래전부터 APT 그룹에 사용됐지만 이 툴을 광범위하게 사용한 최초의 사이버 범죄 조직은 카바낙(Carbanak)이라고 합니다. 여러 부서로 구성된 종합 그룹으로, 금융 기관과 소매업체를 표적으로 삼아 네트워크에 잠입한 후 피해 기업의 금융 프로세스와 워크플로우를 파악한 뒤 송금하는 방식으로 막대한 돈을 훔친 경력이 있다고 합니다.


그리고 코발트 스트라이크에 많은 부분을 의존하는 또 다른 악명 높은 그룹으로 위저드 스파이더(Wizard Spider)가 있습니다. 유명한 트릭봇(Trickbot) 봇넷, 류크(Ryuk)와 콘티(Conti) 랜섬웨어 프로그램을 만든 그룹으로, 한 보안 업체의  보고서에 따르면, 리빌(REvil) 랜섬웨어 조직에서 파생됐을 가능성을 언급한 랜섬 카르텔(Ransom Cartel)도 코발트 스트라이크를 사용한다고 합니다.

듀크(Dukes, APT29) 또한 정부 조직 대상의 .ISO 이미지를 사용한 스피어 피싱 캠페인에서 최종 페이로드로 계속 코발트 스트라이크를 사용하고 있다고 합니다. 이 활동은 CISA와 FBI가 지난 5월 공동 배포한 경보의 내용과도 일치하며, APT29는 러시아 해외정보국(SVR)과 관계가 있습니다. 이렇듯이 코발트 스트라이크는 의외로 여러 곳에서 활용되었고 여러 위험들이 따르곤 했었다는 것을 알 수 있습니다.

2023.06.21 - [IT] - 프레임워크란 예시 라이브러리 차이점은?

2023.06.20 - [IT] - 프롬프트란 뜻 엔지니어 지니 사용법

2023.06.18 - [IT] - 아틀라시안 무료 사용법 가격 자세한 특징들!

2023.06.15 - [IT] - 마이크로스트레티지 원 비트코인 업체 자세히 살펴보자

반응형
저작자표시 비영리 변경금지

'IT' 카테고리의 다른 글

액티브 디렉터리 란 개념과 활용법은?  (0) 2023.06.26
덕덕고 개인정보보호 가능한 브라우저 추천  (0) 2023.06.25
프레임워크란 예시 라이브러리 차이점은?  (0) 2023.06.21
프롬프트란 뜻 엔지니어 지니 사용법  (0) 2023.06.20
아틀라시안 무료 사용법 가격 자세한 특징들!  (0) 2023.06.18

관련글

댓글

티스토리툴바