상세 컨텐츠

본문 제목

Cobalt Strike 툴킷 소스코드, 온라인에 공개돼

국내외 보안동향

by 알약4 2020. 11. 12. 09:05

본문

Alleged source code of Cobalt Strike toolkit shared online

 

광범위하게 사용되는 Cobalt Strike post-exploitation 툴킷의 소스코드가 GitHub 저장소에서 유출된 것으로 나타났습니다.

 

Cobalt Strike는 합법적인 침투 테스팅 툴킷으로 공격자들이 원격으로 피해자의 시스템에서 셸 생성, 파워셸 스크립트 실행, 권한 상승, 리스너를 생성하기 위한 새로운 세션 생성이 가능하도록 해킹된 기기에 비콘을 배치하는데 사용합니다.

 

공격자들은 해킹된 네트워크에서 지속적인 원격 접속 권한을 얻어내기 위해 Cobalt Strike의 크랙된 버전을 사용합니다. 일반적으로 랜섬웨어 공격에 주로 이용됩니다.

 

12일 전, Cobalt Strike 4.0의 소스코드로 추측되는 소스가 GitHub 저장소에 생성되었습니다.

 

 

<Cobalt Strike의 소스코드가 저장된 GitHub 저장소>

<이미지 출처: https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/>

 

 

'src/main/resources/about.html' 파일에 따르면 이 소스코드는 2019년 125일 공개된 Cobalt Strike 4.0입니다.

 

 

<Cobalt Strike 버전을 보여주는 소스 코드>

<이미지 출처: https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/>

 

 

아래 소스코드에서 확인할 수 있듯 Cobalt Strike에 대한 라이선스 검사가 주석 처리되어 있어 컴파일하고자 하는 모든 사용자가 프로그램을 크랙할 수 있습니다.

 

 

<주석 처리된 Cobalt Strike 라이선스 확인 부분>

<이미지 출처: https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/>

 

 

이 소스코드를 조사한 Advanced IntelVitali Kremez는 자바(Java) 코드가 수동으로 디컴파일된 것으로 추측된다고 밝혔습니다. 이후 그는 모든 종속성을 수정하고 라이선스 검사를 제거해 컴파일될 수 있도록 했습니다.

 

이 소스가 저장소에 게시된 이후로 해당 저장소는 172회 포크(fork)되었기 때문에 해당 소스코드의 확산을 막기는 힘든 것으로 보입니다.

 

이 코드가 원본 소스코드는 아니지만 보안 전문가에게는 심각한 문제가 될 수 있습니다.

 

“2019Cobalt Strike 4.0의 재컴파일된 소스코드가 노출될 경우, 툴을 얻기 위해 넘어야 할 장벽이 사라져 범죄 그룹이 즉시 코드를 확보해 수정할 수 있게 됩니다.”

 

공격 툴이 유출될 경우 더 많은 추가 범죄가 발생합니다. Zeus 2.0.8.9., TinyNuke가 유출되었을 당시 많은 공격자들이 이 소스코드를 지속적으로 재사용하고 업데이트했습니다.”

 

Bleeping Computer 측은 Cobalt Strike 및 모회사인 Help Systems에 연락하여 소스코드의 진위여부를 확인하고자 했지만 아직까지 답변을 받지 못했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/alleged-source-code-of-cobalt-strike-toolkit-shared-online/


관련글 더보기

댓글 영역