모의 해킹을 위해 만들어진 코발트 스트라이크가 요즘은 공격자들 사이에서 인기 폭발이라고 한다. 코발트 스트라이크가 악성 행위를 감추고, 커스터마이징 하기에 좋기 때문이다. 따라서 방어자 입장에서는 까다로운 존재다. 대신 이거 하나만 탐지하면 뒤에 이어질 멀웨어 공격들도 어느 정도 대처가 가능하다는 장점도 있다.

[보안뉴스 문가용 기자] 오픈소스 해킹 플랫폼인 메타스플로잇(Metasploit)은 지난 20여년 동안 보안 전문가들에게 있어 논란의 존재였다. 보안 점검을 위한 모의 해킹 도구로서 도움이 되기도 하지만, 사이버 공격자들이 가장 많이 사용하는 공격 도구이기도 하기 때문이다.


메타스플로잇은 해커들과 보안 전문가들 사이에서 모두 인기가 많은 도구다. 그러다가 레드팀 전용 도구인 코발트 스트라이크(Cobalt Strike)가 등장했는데, 이 코발트 스트라이크 역시 공격자들에게서 많은 관심과 사랑을 받는 중이다. 주로 2단계 페이로드를 심는 데에 사용하는데, 이 2단계 페이로드에는 메타스플로잇 익스플로잇도 포함된다. 즉, 코발트 스트라이크로 1차 침투를 진행하고, 그 다음으로 메타스플로잇을 악용한다는 것이다.

코발트 스트라이크는 보안 전문가 라파엘 머지(Raphael Mudge)가 2012년 개발한 ‘위협 에뮬레이션’ 도구다. 그리고 작년 헬프시스템즈(HelpSystems)라는 곳에서 인수했다. 여러 요소들로 구성되어 있는데 공격자들이 특히 좋아하는 건 비컨(Beacon)이라는 것이다. 파워셸 스크립트를 실행시키고, 키스트로크를 로깅하며, 스크린샷을 찍고, 파일을 훔치는 데 활용된다. 다른 멀웨어를 설치하는 기능도 수행할 수 있다. 즉 이 ‘비컨’은 ‘가상의 공격자’를 흉내 내는 핵심 요소라는 것이다.

보안 업체 소포스(Sophos)가 조사한 바에 의하면 지난 해부터 2021년 전반기까지 공격자들이 가장 많이 사용한 공격 도구 중 하나가 바로 이 비컨 요소를 포함한 코발트 스트라이크였다고 한다. 최근 공격자들 사이에서는 파워셸 스크립트 실행 기능이 핵심 중 핵심으로 꼽히고 있는데 그 이유는 파워셸을 이용할 경우, 악성 행위를 정상 행위로 포장하기가 쉽기 때문d이다. “이런 파워셸 익스플로잇 행위의 60%가 코발트 스트라이크를 통해 이뤄지고 있었습니다.”

코발트 스트라이크가 공격자들 사이에서 인기가 높은 데에는 또 다른 이유가 있다. 오래 전에 소스코드가 유출되었다는 것이다. 소포스의 수석 보안 고문인 존 샤이어(John Shier)는 “이런 상태라 공격자들은 코발트 스트라이크 사용법을 아주 잘 알고 있고, 따라서 이를 활용해 자신들의 악성 행위를 감추는 데 능숙하다”고 설명한다. “심지어 솔라윈즈(SolarWinds) 사태를 일으킨 러시아의 GRU 해킹 부대도 코발트 스트라이크를 활용했습니다.”

보안 업체 인텔 471(Intel 471)은 “최근 랜섬웨어 공격에도 코발트 스트라이크가 적극 활용된다”고 말한다. “코발트 스트라이크가 공격자들의 행위를 숨겨주고 다른 멀웨어를 추가로 심는 것에 특화되어 있는 도구이다 보니 랜섬웨어뿐만 아니라 트릭봇(TrickBot), 한시터(Hancitor), 큐봇(Qbot), 시스템BC(SystemBC), 스모크로더(Smokeloader), 바자(Bazar) 등과 같은 멀웨어들도 코발트 스트라이크를 통해 설치됩니다.” 그러면서 “공격자들은 특히 비컨 기능을 선호하는 것으로 보인다”고 소포스의 말에 동의한다.

그 외에도 주목해야 할 건 코발트 스트라이크의 몰리어블(malleable)이라는 기능이라고 샤이어는 설명한다. “일종의 C&C 기능을 담당합니다. 공격자들은 이 기능을 사용해 자신들의 C&C 네트워크를, 마치 다른 공격 단체나 모의 해커의 C&C 네트워크인 것처럼 만들어 버립니다. 그렇기 때문에 자신들에 대한 추적 및 분석을 효과적으로 방해할 수 있는 것이죠. 심지어 어떤 트래픽으로 C&C를 위장시키는가에 따라 공격을 탐지하는 것 자체가 힘들어질 수 있습니다.”

그렇지만 코발트 스트라이크라고 해서 완벽한 건 아니다. 코발트 스트라이크의 악용을 꿰뚫어 볼수 있는 방법들이 존재한다고 전문가들은 말한다. “공격자들도 실수를 합니다. 그런 실수들을 잡아내는 게 탐지에 도움을 줍니다. 혹 실수를 전혀 하지 않더라도, 네트워크 내에서 벌어지는 활동들을 모니터링하면 코발트 스트라이크가 악용되는지 정상적으로 사용되는지 파악하는 게 가능합니다. 또한 특정 악성 스크립트들에 대한 야라 룰즈(Yara Rules)를 미리 생성해 두면, 그것 역시 도움이 됩니다.”

소포스는 “랜섬웨어의 증가와 코발트 스트라이크의 증가가 서로 유의미하게 연관되어 있다는 것도 주목해야 할 일”이라고 말한다. “코발트 스트라이크가 랜섬웨어를 더 퍼트리고 부추긴다는 건 아닙니다. 코발트 스트라이크를 활용한 공격 사슬에 랜섬웨어가 연루될 확률이 높아졌다는 것이지요. 즉 코발트 스트라이크와 같은 ‘인기 높은’ 공격 도구를 미리 탐지할 기반만 마련되어 있다면 높은 확률로 랜섬웨어도 방지할 수 있다는 뜻이죠.”

또 다른 보안 업체 레드카나리아(Red Canary)의 보안 전문가들은 “최근 표적 공격에서 코발트 스트라이크가 활용되는 사례가 많다”고 말한다. “코발트 스트라이크 페이로드를 먼저 사용하고, 이를 통해 류크(Ryuk) 랜섬웨어를 유포시키는 실제 사례를 겪기도 했습니다. 고도의 표적 공격이었고, 모든 것이 2시간 만에 벌어졌습니다. 그만큼 코발트 스트라이크의 성능이 안정적이고 믿을만 하다는 것이죠. 공격자들은 이 코발트 스트라이크를 커스터마이징 해서 활용하고 있기 때문에 탐지는 점점 더 어려워지고 있습니다. 앞으로 코발트 스트라이크의 유행은 쉽게 가라앉지 않을 것 같습니다. 대신 이에 대한 대응책을 마련하면 많은 추가 공격을 쉽게 막을 수 있다는 뜻도 됩니다.”

3줄 요약
1. 최근 공격자들이 가장 많이 사용하는 해킹 도구 중 하나는 코발트 스트라이크.
2. 코발트 스트라이크 통해 악성 행위와 트래픽 감추고 다른 멀웨어 심을 수 있음.
3. 코발트 스트라이크만 막을 수 있다면 다른 악성 멀웨어도 당분간 막을 수 있다는 뜻.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>