Home > 전체기사
모의 해킹 툴, 코발트 스트라이크에서 발견된 버그 덕분에
  |  입력 : 2019-03-04 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해적판은 해커들 사이에서도 널리 사용되는 모의 해킹 툴
공격자 서버 발견 가능케 해주는 버그 나와...악성 서버도 다수 발견


[보안뉴스 문가용 기자] 최근 침투 테스트 툴인 코발트 스트라이크(Cobalt Strike)에서 발견된 취약점 때문에 공격자의 서버를 찾아낼 수 있다는 보고서가 나왔다. 보안 업체 폭스IT(Fox-IT)의 전문가들이 발견하고 분석한 결과다.

[이미지 = iclickart]


이 버그는 지난 1월, 코발트 스트라이크 3.13을 통해 이미 패치된 바 있다. 다만 모든 사용자들이 일괄적으로 적용하지 않는 것이라 활용/남용/악용의 소지가 남아있다. 폭스IT에 의하면 이 버그는 “서버 응답으로서는 굉장히 드문 ‘화이트스페이스’”가 그 정체이며, 이미 1년 반 동안 보안 전문가들이 코발트 스트라이크 서버를 식별하는 데에 활용해왔다고 한다.

코발트 스트라이크는 해커들의 공격을 시뮬레이션 하기 위해 개발된 툴로, 침투 테스터들 사이에서 널리 사랑받고 있다. 또한 레드 팀과 블루 팀의 모의 침투 및 방어 시합에서 레드 팀이 자주 사용하기도 한다. 그러나 여러 사이버 범죄자들이 모의가 아닌 실제 해킹 공격에 활용하는 모습도 보여 왔다.

코발트 스트라이크는 무료와 유료 버전 모두 존재한다. 당연하지만 해적판도 존재하고, 웹으로 배포되고 있다. 사실 무료 버전과 해적판의 존재 때문에 코발트 스트라이크의 인기가 오른 측면도 있다. 코발트 스트라이크를 주력으로 사용하는 공격 단체 중 대표적인 건 범죄 단체인 핀7(FIN7)과 국가 지원 해킹 그룹인 APT29다.

코발트 스트라이크 플랫폼은 두 개의 요소로 구성되어 있다. 하나는 임플란트(implant)로, 비컨(beacon)이라고 불린다. 다른 하나는 서버(server)로, ‘팀 서버(team server)’라고 불린다. 서버는 자바로 작성되었으며, 코발트 스트라이크의 비컨들을 관리하는 데 사용된다. 그 외에도 비컨들의 C&C 서버처럼 작동할 수도 있고, 비컨에 페이로드, 랜딩 페이지, 임의 파일들을 전송할 수도 있다.

폭스IT는 “코발트 스트라이크 서버와의 통신은 침입 탐지 시스템(IDS) 시그니처와 기타 다른 기술을 통해 추적이 가능하다”고 설명한다. “따라서 보안 전문가들이 이를 활용해 실제 사용되고 있는 팀 서버들의 현황을 파악하는 게 가능해집니다.” 이런 원리로 폭스IT가 분석을 했을 때 코발트 스트라이크 팀 서버의 웹서버 요소 내에서 버그를 발견할 수 있었다고 한다.

이 때 웹서버는 자바로 작성된 오픈소스 웹서버인 나노HTTPD(NanoHTTPD)를 기반으로 한 것이었다. 이 발견을 통해 폭스IT의 전문가들은 인터넷에 고스란히 노출된 나노HTTPD 서버들을 찾아낼 수 있었고, 여기에는 코발트 스트라이크 팀 서버들도 포함되어 있는 것으로 나타났다.

그렇게 확보된 데이터를 사용해 폭스IT는 “인터넷을 통해 노출된, 그래서 접근이 가능해진 팀 서버들의 상태 이력을 확보할 수 있었다”고 설명한다. “그런데 80 포트와 443 포트에서 코발트 스트라이크(나노HTTPD) 웹서버가 꾸준히 늘어나고 있는 걸 알 수 있었습니다. 코발트 스트라이크의 인기가 꽤나 꾸준히 지속되고 있다는 걸 알 수 있었습니다. 하지만 취약점이 발견되고 패치되면서 조금씩 인기가 사그라지는 현상도 목격할 수 있었습니다.”

폭스IT가 2015년 1월부터 2019년 2월까지의 기간 동안 찾아낸 코발트 스트라이크 팀 서버 혹은 나노HTTPD 호스트들은 총 7,718개로, 전체 목록은 깃허브를 통해 공개되어 있다. “이 서버들이 전부 악성 공격자들에 의해 사용된 건 아닙니다. 정상적인 침투 테스트 목적으로 사용된 사례들도 포함되어 있는 숫자입니다. 정상과 악성을 구분하는 건 쉽지 않습니다.”

현재 여러 보안 업체들이 이 소식을 듣고 전체 목록(https://github.com/fox-it/cobaltstrike-extraneous-space)을 검토 중에 있다. 그리고 상당 수가 악의적인 목적에 활용되고 있다는 것으로 나타났다. 코발트 스트라이크가 발표한 패치가 정품을 위한 것이고, 대부분의 해커들은 해적판을 사용하기 때문에 시간이 지남에 따라 이 목록의 수는 점점 ‘악성 서버’로 압축될 것으로 예상된다.

3줄 요약
1. 모의 침투 테스터들과 실제 해커들 모두에게 사랑받는 코발트 스트라이크.
2. 이 툴에서 버그가 발견됐는데, 공격자 서버를 찾아내게 해주는 유용한 버그임.
3. 이 버그를 통해 찾아낸 서버 8천여 개가 공개되고, 보안 전문가들이 이 목록을 조사 중에 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)