실제 공격에 악용되는 Cobalt Strike 비콘의 리눅스 구현인 Vermilion Strike 발견

 

 

Vermilion Strike, a Linux implementation of Cobalt Strike Beacon used in attacks

 

공격자가 Cobalt Strike 비콘의 비공식 리눅스 및 윈도우 버전을 직접 재구현해 전 세계 조직을 노린 공격에 적극적으로 활용하고 있는 것으로 나타났습니다.

 

이 상업용 사후 악용 툴(Post exploitation tool)의 리눅스 버전은 Vermilion Strike로 명명되었으며, Intezer 연구원에 따르면 이를 발견한 당시 완전히 탐지되지 않는 상태였습니다.

 

Intezer는 분석을 발표해 아래와 같이 밝혔습니다.

 

“2021년 8월, Intezer에서 Vermilion Strike라는 Cobalt Strike 비콘의 완전히 탐지되지 않은 ELF 구현을 발견했습니다. 이 은밀한 샘플은 C2 서버와 통신할 때 Cobalt Strike의 C2 프로토콜을 사용하며 파일 업로드, 셸 명령 실행, 파일 쓰기 등 원격 액세스 기능을 포함하고 있습니다."

 

Intezer의 연구원들은 이 리눅스 변종이 지난 8월부터 활발히 활동했으며 공격자들은 이를 통신 회사, 정부 기관, IT 회사, 금융 기관, 자문 회사를 노린 공격에 사용했다고 밝혔습니다.

 

 

<이미지 출처 : https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/>

 

 

연구원이 분석한 샘플은 말레이시아에서 VirusTotal에 업로드되었으며, 해당 글을 쓰는 시점에 플랫폼 탐지율이 0이었습니다.

 

연구원들은 Vermillon Strike가 고도의 타깃형 공격에 사용되었다고 추측했습니다.

 

VirusTotal에 업로드된 ELF 파일은 Cobalt Strike 샘플과 문자열을 공유하며, Cobalt Strike에 대한 YARA 규칙을 사용해 악성으로 탐지될 수 있습니다. 해당 파일은 RedHat 리눅스 배포판에 구축되었습니다.

 

“이는 동적 연결을 통해 OpenSSL을 사용합니다. RedHat 기반 배포판의 OpenSSL에 대한 공유 개체의 이름은 다른 리눅스 배포판과 다릅니다. 이 때문에 RedHat의 코드를 기반으로 하는 리눅스 배포판에서만 실행될 수 있습니다."

 

샘플을 설치하면 악성코드는 데몬을 사용하여 백그라운드에서 실행되고, 비콘이 작동하는 데 필요한 구성을 복호화합니다. 악성코드는 탐지를 피하기 위해 주로 DNS를 통해 C2에 연결하지만, HTTP도 사용할 수 있습니다.

 

“Vermilion Strike을 비롯한 리눅스 위협은 지속적으로 발견되고 있습니다. 클라우드 분야에서 리눅스 서버가 많이 사용되고 계속해서 증가함에 따라, APT는 기존 환경을 탐색하기 위해 툴셋을 수정합니다. 리눅스 관련 공격은 윈도우에 비해 탐지율이 낮은 경우가 많습니다."

 

“Vermilion Strike는 리눅스용으로 변환된 Cobalt Strike의 유일한 비콘은 아닙니다. Go를 기반으로 구현된 오픈소스 프로젝트 geacon이 또 다른 예입니다. Vermilion Strike는 리눅스로 구현된 마지막 Beacon이 아닐 가능성이 있습니다.”

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Linux.Agent’으로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/122172/malware/cobalt-strike-beacon.html

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/