공격자들 사이에서 코발트 스트라이크가 공격용 멀웨어로 활용되어 온 건 이미 오래 전부터다. 보안 업계도 슬슬 적응을 마쳐가고 있다. 그래서 공격자들은 코발트 스트라이크의 대체품들을 물색하기 시작했고, 여러 가지가 현장에서 발견되는 중이다. 그 중 슬리버가 눈에 띈다.

[보안뉴스 문가용 기자] 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구가 이제는 사실상 공격 도구로서 활용되는 사례가 너무나 많아지다 보니 이제는 기업들이 코발트 스트라이크를 탐지하여 차단하는 방법들을 익히고 있다. 그리고 꽤나 많은 방어자들이 코발트 스트라이크를 잘 쳐내기 시작했다. 그러자 공격자들은 새로운 무기를 들고 나타났다. 바로 슬리버(Sliver)다. 오픈소스 C&C 프레임워크로, 공격자들이 최근 이를 공격에 적극 활용하기 시작했다.


팀사이므루(Team Cymru)의 수석 연구원인 조시 홉킨스(Josh Hopkins)는 “최근 보안 분야에서 슬리버에 대한 소문이 확산되고 있다”고 말한다. “코발트 스트라이크가 너무 오랜 시간 전성기를 누려왔어요. 그래서 이제 방어자들이 어지간하면 다 코발트 스트라이크를 잡을 수 있게 됐습니다. 공격자들이 코발트 스트라이크의 유효 기간이 다 되었다고 느낄 만도 합니다. 슬리버가 코발트 스트라이크의 후발주자가 될 수도 있어 보입니다.”

MS의 보안 연구원들도 지난 주 국가 지원 해커들과 랜섬웨어 공격자들, 사이버 범죄 단체들이 골고루 슬리버를 활용하고 있다고 경고했다. 코발트 스트라이크와 함께 사용되거나, 코발트 스트라이크 대신 사용된다고 MS는 설명했다. 그 중 악명 높은 사이버 범죄 단체인 핀12(FIN12)도 있었다. 핀12는 MS에서 데브0237(DEV-0237)이라고 부르는 조직으로 류크(Ryuk), 콘티(Conti), 하이브(Hive) 등과도 관련이 있다.

사용자, 빠르게 늘어나
팀사이므루 측이 슬리버에 대해 경고하고 나선 건 이미 올해  초의 일이다. 당시 일부 공격자들의 캠페인에서 발견됐는데, 산업 분야를 특별히 가리는 것으로 보이지는 않았다. 그 중 2월 3일부터 3월 4일까지 진행된 캠페인의 경우, 러시아에 호스팅 된 공격 인프라가 활용됐었고, 비슷한 시기의 또 다른 캠페인에서는 파키스탄과 튀르키예의 정부 기관들이 표적인 것으로 분석됐다. 슬리버는 연쇄적으로 이뤄지는 공격 행위들 중 최초 침투에 주로 활용되는 모습을 보였었다. 

슬리버는 보안 업체 비숍폭스(Bishop Fox)가 2019년 개발하여 배포한 프레임워크다. 개발 목적 자체도 코발트 스트라이크를  대체하는 것이었다. 즉 레드팀과 모의 해킹 전문가들이 사용할 만한 도구를 만든 것으로(코발트 스트라이크도 그런 목적으로 만들어진 도구), 실제 해커들의 악성 행위와 공격 패턴들을 흉내 낸다. 하지만 코발트 스트라이크와 마찬가지로 ‘모의’ 공격 도구가 점점 ‘실제’ 공격 도구가 되어가고 있다.

공격자들 입장에서는 매력이 넘쳐나
슬리버는 고(Go) 언어로 만들어졌다. 그래서 다양한 OS 환경에 유연하게 적용할 수 있다. 이른 바 크로스 플랫폼 공격이 가능한 것이다. 모의 해킹 훈련을 실시하는 보안 전문가들은 슬리버를 가지고 셸코드, 실행파일, 공유 라이브러리(DLL) 등 다양한 형태의 임플란트를 생성할 수 있게 된다. 이러한 장점은 공격자들에게도 똑같이 적용된다. 게다가 고 언어로 만들어진 공격 도구에 대한 방어 솔루션이 본격적으로 나오고 있지 않고 있다는 것도 공격자들에게는 호재로 작용한다.

또한 슬리버는 보다 작은 페이로드들인 스테이저(stager)들과의 호환성도 좋다. “스테이저는 여러 C&C 프레임워크에서 사용되는 기능이라고 볼 수 있습니다. 주로 최초 페이로드(피싱 이메일 등)에 포함되는 악성 코드를 최소화 하는 데 사용됩니다. 이런 스테이저 때문에 파일 기반 탐지 기술이 기능을 제대로 발휘하기가 힘듭니다.”

뿐만 아니라 슬리버는 많은 코발트 스트라이크보다 더 많은 빌트인 모듈을 가지고 있기도 하다. 레어스 컨설팅(Lares Consulting)의 엔지니어인 앤디 길스(Andy Gills)에 의하면 “이 빌트인 기능들 덕분에 공격자들은 시스템을 보다 더 쉽게 익스플로잇 하고, 정보들에 더 쉽게 접근할 수 있게 된다”고 한다. “코발트 스트라이크를 사용하려면 공격자 자신이 직접 이런 기능들을 어디선가 공수해 와야 합니다. 즉 슬리버가 코발트 스트라이크와 꽤나 비슷하면서도 사용상의 난이도는 크게 낮아졌다는 겁니다.”

홉킨스는 아직 슬리버가 보안 업계에 널리 퍼지지 않았고, 그래서 방어 기술이 없다는 것이 공격자들에게 가장 매력적일 것이라고 말한다. “슬리버는 코발트 스트라이크의 복사본이라고 해도 믿어질 정도로 비슷한 기능을 가진 도구입니다. 그런데 코발트 스트라이크에 비해 보안 담당자들의 관심을 끌고 있진 않습니다. 적어도 아직까지는 말이죠. 이 때문에 탐지가 잘 되지 않고, 공격이 쉬워집니다. 이런 도구가 지금 깃허브에서 무료로 풀리고 있죠.”

여전한 대세, 코발트 스트라이크
올해 1사분기 동안 팀사이므루는 143개의 슬리버 샘플들을 발견한 바 있다. 공격 캠페인의 1단계에 활용된 것으로 보이는 샘플들이다. 같은 기간 동안 발견된 코발트 스트라이크 샘플은 4455개다. 물론 이 중에는 모의 해킹을 위해 활용된 경우도 있겠지만, 그걸 감안하더라도 코발트 스트라이크와 슬리버의 사용량에는 큰 차이가 있음을 알 수 있다. “슬리버가 떠오르고 있긴 하지만 코발트 스트라이크에 주목해야 한다는 사실에는 변함이 없습니다. 현재 코발트 스트라이크는 C&C 네트워크 구성에 있어 황금 표준 그 자체니까요.”

보안 업체 인텔471(Intel 471)의 보안 연구원들은 코발트 스트라이크와 슬리버가 상호보완적으로 사용되는 중이라는 입장이다. 아직 완전한 대체가 이뤄지지는 않았다고 한다. “올해 공격자들은 많은 경우 코발트 스트라이크와 메타스플로잇, 아이스드아이디(IcedID)와 같은 멀웨어들을 혼합해서 사용하는 모습을 많이 보여주었습니다. 또한 새로운 로더인 범블비(Bumblebee) 역시 함께 사용되곤 하죠.” 인텔471의 수석 첩보 책임자인 마이클 드볼트(Michael DeBolt)의 설명이다.

“슬리버에는 많은 기능들이 탑재되어 있습니다. 가장 유용한 건 특정 시간 동안 악성 기능이 발동되지 않도록 하는 것이라고 보이는데요, 이 덕분에 공격자들은  샌드박스 등 의도치 않은 환경에서 악성 페이로드가 실행되는 걸 막을 수 있습니다. 이런 기능이 유용하기 때문에 기존 다른 공격 도구들과 결합해서 사용되기도 하죠. 한 동안은 이런 ‘하이브리드 방식’으로 더 많이 활용되지 않을까 합니다. 독자적으로 사용되려면 조금 더 검증 기간이 필요할 것이라고 봅니다.”

그 외에도 길스는 포시투(Posh2)라는 C&C 프레임워크도 예의주시해야 할 물건이라고 지적한다. “포시투도 코발트 스트라이크 대신 사용될 수 있는 C&C 프레임워크입니다. 그 외에 미식(Mythic)이라는 프레임워크도 이런 식으로 활용되기 시작했죠. 코발트 스트라이크가 슬슬 전성기를 끝내고, 다른 것에 왕좌를 내주려는 분위기입니다. 그 후보들이 슬슬 두각을 나타내고 있습니다.”

3줄 요약
1. 코발트 스트라이크, C&C 프레임워크로서는 현재 ‘황금 표준.’
2. 하지만 너무 잘 알려져 있어 이제는 방어 확률도 높아지기 시작함.
3. 그래서 새로운 프레임워크들이 난립하기 시작하는데, 그 중 슬리버가 눈에 띔.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>