Cobalt Strike란?

코발트 스트라이크

보안 취약점을 점검하기 위한 침투 테스트 도구, 침투 테스트 단계별로 다양한 기능들을 지원함

-> 다수의 공격자가 악성코드 동작 중간에 내부 시스템 장악을 목적으로 사용

 

목록	기능
Client	Teamserver에 접속해 명령을 내리는 주체
Teamserver	Listener가 설치된 서버 Beacon 관리 Malleable C2 Profile을 이용한 Beacon 커스터마이징 Webserver 내장
Listener	Beacon과 연결되며 C2 서버 역할을 수행하는 모듈
Beacon	공격 기능을 제공하는 Cobalt Strike의 Payload Teamserver에 설치된 Listener와 통신 및 명령 수행 감염 PC에서 백도어로 동작하는 실질적인 악성코드

 

MITRE ATT&CK 기반 Cobalt strike 공격 기법

1. 초기 침투 및 거점 확보

- Cobalt Strike의 동작은 Beacon에서 발생하며 Packages, Web Drive-by, Spear Phish의 형태로 Beacon을 제작/전달이 가능

- Beacon은 생성 시에 Listener를 생성하며 설정에 따라 HTTP, HTTPS, DNS 프로토콜을 이용한 통신이 가능함

- Beacon 데이터 포함 여부에 따라 Stager, Stageless로 나뉨

• Stager: 외부 C2에서 Beacon 데이터를 다운로드 받아 메모리상에서 실행하는 방식
• Stageless: Beacon 데이터가 포함되어 실행되는 방식

- 스폰(Spawn) 제공: 의심 프로세스를 특정할 수 없게 하는, 보안장비 우회가능

 

2. 권한 상승

- PC 접근에 성공한 경우 원격 제어가 가능하다는 것을 이용해 다양한 명령 가능

- 계정 정보 획득을 위해서는 권한 상승이 필요 -> elevate 명령 또는 Access-Elevate 메뉴를 이용해 권한 상승이 가능

- 권한 상승 이후 자격 증명 정보 탈취를 진행하기 위해 미미카츠(Mimikatz)를 사용

 

3. 내부 정찰(internal reconnaissance) 

- 권한 상승 및 자격 증명 정보 탈취를 진행해 최초 접근한 장비 장악이 끝난 후 진행

- 내부 정찰을 진행 -> 다른 PC에 접근 위함

- 포트 스캔 진행

 

4. 측면 이동(lateral movement)

- 내부 정찰 과정 및 자격 정보 탈취 과정이 완료되면 내부 전파 과정을 위한 측면 이동 진행

목록	내용
외부와 통신이 가능	다른 장비에 Beacon을 설치, 외부 C2서버로부터 명령받음
외부와 통신이 불가능	SMB Beacon을 설치, HTTP Beacon을 거쳐 C2서버로부터 직접적으로 명령을 전달 받음

 

5. 지속성 및 목적 완료

- Cobalt Strike Beacon의 기본 설정은 일회성 실행으로 생성되어 지속적인 시스템 접근에 어려움이 생김

- Beacon 생성 시 해당 코드를 추가해 Beacon이 실행될 때 특정 서비스에 등록해 지속적인 실행이 가능하게 함

 

참고 사이트

https://www.igloo.co.kr/security-information/%ec%b9%a8%ed%88%ac-%ed%85%8c%ec%8a%a4%ed%8c%85-%eb%8f%84%ea%b5%ac-cobalt-strike-part-1-%ea%b8%b0%eb%8a%a5%ed%8e%b8/

침투 테스팅 도구 Cobalt Strike Part.1 기능편

https://www.soft2000.com/24701

국내 기업 위협하는 코발트 스트라이크 심층 분석

https://m.blog.naver.com/aepkoreanet/221778563835

Cobalt Strike : 침투 테스팅 도구