시그니처 기반 탐지(인메모리 스캔)는 중요한 탐지 전략이 될 수 있습니다. 이 블로그에서는 0의 유효 오탐율로 활성화된 구성 또는 스텔스 기능에 관계없이 코발트 스트라이크(Cobalt Strike)를 탐지하는 방법에 대해 알아봅니다.

Elastic Security에서 우리는 다양한 방법으로 위협 탐지 과제에 접근합니다. 전통적으로, 우리는 머신 러닝 모델과 행동에 초점을 맞춰왔습니다. 이 두 가지 방법은 이전에는 볼 수 없었던 Malware를 탐지할 수 있기 때문에 강력합니다. 역사적으로, 우리는 시그니처가 너무 쉽게 회피된다고 느껴왔지만, 또한 회피의 용이성이 고려해야 할 많은 요소들 중 하나일 뿐이라는 것도 인식하고 있습니다. 성능과 오탐율도 탐지 기술의 효과를 측정하는 데 중요합니다.
알 수 없는 Malware를 탐지할 수는 없지만 시그니처는 0에 근접하는 오탐율을 가지고 있으며 경보 기능의 우선 순위를 지정하는 데 도움이 되는 관련 레이블을 가지고 있습니다. 예를 들어, TrickBot 또는 REvil 랜섬웨어에 대한 경보 기능에는 잠재적으로 원하지 않는 애드웨어 변형 유형보다 더욱 즉각적인 조치가 필요합니다. 가설적으로 우리가 시그니처를 통해 알려진 Malware의 절반만 잡을 수 있다고 하더라도, 다른 이점을 고려하면, 다른 보호 장치와 계층화했을 때 이것은 여전히 큰 성공입니다. 현실적으로 우리는 훨씬 더 잘할 수 있습니다.
장기적인 가치를 제공하는 시그니처를 만드는 데 있어 한 가지 장애물은 패커와 임시 Malware 로더의 광범위한 사용입니다. 이러한 구성 요소는 시그니처 탐지를 회피하기 위해 빠르게 진화하지만 최종 Malware 페이로드가 결국 암호 해독되어 메모리에서 실행됩니다.
패커 및 로더 문제를 해결하기 위해, 인메모리 콘텐츠에 시그니처 탐지 전략을 집중할 수 있습니다. 따라서 시그니처의 저장 수명이 일 단위에서 월 단위로 연장됩니다. 이 포스팅에서는 코발트 스트라이크(Cobalt Strike)를 메모리 내 시그니처를 활용하는 예로 사용할 것입니다. 
 <h2>코발트 스트라이크 시그니처</h2><a href="https://www.cobaltstrike.com/">코발트 스트라이크</a>는 레드 팀의 공격 평가 및 공격자들의 공격 시뮬레이션을 수행하는 데 널리 사용되는 프레임워크입니다. 아마도 사용 편의성, 안정성, 스텔스 기능 때문에, 훨씬 더 <a href="https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html">비열한</a> 의도를 가진 <a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos">나쁜 행위자들</a>이 가장 좋아하는 도구이기도 합니다. 코발트 스트라이크의 엔드포인트 페이로드인 비컨(Beacon)을 탐지하는 다양한 기술이 있어왔습니다. 여기에는 <a href="/kr/blog/hunting-memory">백업되지 않은 스레드</a> 및 최근에는 기본으로 내장된 <a href="https://labs.f-secure.com/blog/detecting-cobalt-strike-default-modules-via-named-pipe-analysis/">명명된 파이프</a>를 찾는 작업이 포함됩니다. 그러나 비컨의 <a href="https://blog.cobaltstrike.com/2019/05/02/cobalt-strike-3-14-post-ex-omakase-shimasu/">구성성</a> 수준 때문에 일반적으로 공개 탐지 전략을 피하는 방법이 있습니다. 여기서는 메모리 시그니처를 대체 탐지 전략으로 사용하려고 합니다.
비컨은 일반적으로 메모리에 <a href="https://github.com/stephenfewer/ReflectiveDLLInjection">반사적으로 로드되며</a> 절대 직접 시그니처가 가능한 형태로 디스크에 닿지 않습니다. 또한, 비컨은 다양한 인메모리 난독화 옵션으로 구성하여 페이로드를 숨길 수 있습니다. 예를 들어, <a href="https://blog.cobaltstrike.com/2018/09/06/cobalt-strike-3-12-blink-and-youll-miss-it/">난독화 및 절전</a> 옵션은 특히 시그니처 기반 메모리 스캔을 피하기 위해 콜백 사이에 비컨 페이로드의 일부를 마스킹하려고 시도합니다. 시그니처를 개발할 때는 이 옵션을 고려해야 하지만, 이러한 고급 스텔스 기능으로도 비컨에 서명하는 것은 여전히 쉽습니다.
 <h2>본격적으로 시작해 볼까요?</h2>먼저 <a href="https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/reference.profile#L254-L255">sleep_mask</a> 옵션이 활성화되고 최신 릴리즈(참조 섹션의 해시)가 비활성화된 비컨 페이로드를 몇 개 구하는 것으로 시작합니다. sleep_mask가 비활성화된 샘플부터 시작하여 디토네이션 후 백업되지 않은 영역에서 SleepEx를 호출하는 스레드를 찾아 프로세스 해커와 함께 비컨을 메모리에서 찾을 수 있습니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7b127a57723668a4/603e6e90982f2a0bdaf5a89b/1-process-hacker-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt7b127a57723668a4" alt="" style="display: block; margin: auto;">
여기에서, 분석을 위해 관련 메모리 영역을 디스크에 저장할 수 있습니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8fd59d9d51f487e3/603e6e9ef9638443346d3da1/2-memory-region-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt8fd59d9d51f487e3" alt="" style="display: block; margin: auto;">
가장 쉬운 성공 방법은 이 영역에서 몇 개의 고유한 스트링을 선택하여 시그니처로 사용하는 것입니다. 이를 직접 보여드리기 위해 여기서는 산업 표준 도구인 <a href="https://virustotal.github.io/yara/">yara</a>로 시그니처를 작성할 예정입니다.
<pre class="prettyprint">rule cobaltstrike_beacon_strings
{
meta:
 author = "Elastic"
 description = "Identifies strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d"
 $b = "Started service %s on %s"
 $c = "%s as %s\\%s: %d"
condition:
 2 of them
}
</pre>이렇게 하면 적용 범위가 넓어지지만 sleep_mask가 활성화된 샘플을 보면 더 나은 결과를 얻을 수 있습니다. 일반적으로 MZ/PE 헤더를 찾을 수 있는 메모리를 살펴보면 다음과 같이 난독화되어 있습니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt68be7567c87b8f15/603e6eb71322a9094ddecf50/3-obfuscated-header-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt68be7567c87b8f15" alt="" style="display: block; margin: auto;">
빠르게 살펴보니, 반복 바이트가 많이 있습니다(이 경우 0x80). 여기서 실제로 null 바이트가 기대됩니다. 이것은 비컨이 단순한 1바이트 XOR 난독화를 사용하고 있음을 나타내는 것일 수 있습니다. 확인하기 위해 <a href="https://gchq.github.io/CyberChef/">CyberChef</a>를 사용할 수 있습니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt51fc44c10e0289c9/603e6ec708636f3d7749a259/4-cyberchef-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt51fc44c10e0289c9" alt="" style="display: block; margin: auto;">
보시는 것처럼, 디코딩 후 "This program cannot be run in DOS mode(이 프로그램은 DOS 모드에서 실행할 수 없습니다)" 스트링이 나타나 우리의 이론을 확인해줍니다. 단일 바이트 XOR은 케케묵은 트릭 중 하나이기 때문에, yara는 실제로 <a href="https://yara.readthedocs.io/en/stable/writingrules.html">xor</a> 변경자로 네이티브 탐지를 지원합니다.
<pre class="prettyprint">rule cobaltstrike_beacon_xor_strings
{
meta:
 author = "Elastic"
 description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL."
strings:
 $a = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
 $b = "Started service %s on %s" xor(0x01-0xff)
 $c = "%s as %s\\%s: %d" xor(0x01-0xff)
condition:
 2 of them
}
</pre>스캔 중 PID를 제공하여 지금까지의 yara 규칙에 대한 탐지를 확인할 수 있습니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blte78d10de1484f20e/603e6ed5f9638443346d3da5/5-confirming-detection-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blte78d10de1484f20e" alt="" style="display: block; margin: auto;">
하지만, 아직 끝나지 않았습니다. 비컨의 최신 버전(본 문서 기준으로 4.2)으로 샘플에서 이 시그니처를 테스트한 후 난독화 루틴이 개선되었습니다. 이 루틴은 앞서 표시된 것처럼 콜 스택에 따라 찾을 수 있습니다. 이제 다음 IDA Pro 코드 조각에 표시된 것처럼 13바이트 XOR 키를 사용합니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6ca50e04e513814b/603e6efbacf0d53d70c5accc/6-ida-pro-snippet-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt6ca50e04e513814b" alt="" style="display: block; margin: auto;"> 
다행히 비컨의 난독화 및 절전 옵션은 스트링과 데이터만 난독화하므로 전체 코드 섹션은 시그니처를 위해 충분히 준비된 상태가 됩니다. 코드 섹션에서 어느 기능에 대해 시그니처를 개발해야 하는가라는 문제가 있지만, 이것은 이 내용만을 위한 단독 블로그 포스팅에서 다루는 게 더 좋을 것 같습니다. 현재로서는, 단지 난독화 절차에 대한 시그니처를 만들 수 있습니다. 잘 작동해야겠죠.
<pre class="prettyprint">rule cobaltstrike_beacon_4_2_decrypt
{
meta:
 author = "Elastic"
 description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2."
strings:
 $a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
 $a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
condition:
 any of them
}
</pre>비컨이 스텔스 절전 상태(32비트 및 64비트 변형 모두)일 때에도 비컨을 탐지할 수 있는지 검증할 수 있습니다.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt70a33ec8ee2d14c1/603e6eef7d801145b7fb6fd5/7-detection-beacon-blog-detecting-cobalt-strike.png" data-sys-asset-uid="blt70a33ec8ee2d14c1" alt="" style="display: block; margin: auto;">
이를 보다 강력한 탐지로 구축하기 위해 시스템(또는 전체 엔터프라이즈)의 모든 프로세스를 정기적으로 스킨할 수 있습니다. 이 작업은 다음과 같이 파워셸 원 라이너로 수행할 수 있습니다.
<pre class="prettyprint">powershell -command "Get-Process | ForEach-Object {c:\yara64.exe my_rules.yar $_.ID}"
</pre> <h2>결론</h2>시그니처 기반 탐지는 종종 무시되지만 특히 인메모리 스캔을 고려할 때 중요한 탐지 전략입니다. 소수의 시그니처만으로, 0의 유효 오탐율로 활성화된 구성 또는 스텔스 기능에 관계없이 코발트 스트라이크(Cobalt Strike)를 탐지할 수 있습니다.
<h3>참조 해시</h3><pre class="prettyprint">7d2c09a06d731a56bca7af2f5d3badef53624f025d77ababe6a14be28540a17a
277c2a0a18d7dc04993b6dc7ce873a086ab267391a9acbbc4a140e9c4658372a
A0788b85266fedd64dab834cb605a31b81fd11a3439dc3a6370bb34e512220e2
2db56e74f43b1a826beff9b577933135791ee44d8e66fa111b9b2af32948235c
3d65d80b1eb8626cf327c046db0c20ba4ed1b588b8c2f1286bc09b8f4da204f2
</pre><h2>Elastic Security에 대해 자세히 알아보기</h2>(아직 하지 않으셨다면) Elastic Agent의 강력한 보호, 탐지 및 응답 기능을 숙지해 보세요. <a href="https://cloud.elastic.co/registration?elektra=en-security-page">14일 무료 체험판</a>을 시작하거나(신용 카드 필요 없음) 또는 무료로 <a href="/kr/downloads/">제품을 다운로드</a>하여 온프레미스로 배포하세요. 또한 <a href="/kr/training/elastic-security-quick-start">빠른 시작 교육</a>을 활용하여 성공을 위한 준비를 하세요.

blog-banner-security-radar-anomaly-monitor.png

blog-thumb-security-radar-anomaly-monitor.png

Detecting Cobalt Strike with memory signatures

메모리 시그니처를 이용한 코발트 스트라이크 탐지

Start free trial

Blog Footer CTA

Sign up for Elastic Cloud free trial

Joe Desimone

By submitting you acknowledge that you've read and agree to our <a href="/legal/elastic-cloud-account-terms" target="_self">Terms of Service</a>, and you agree to receive the <a href="/legal/privacy-statement#how-we-use-the-information" target="_self">selected communications</a> at the contact details you provided above. See <a href="/legal/privacy-statement/" target="_self">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Communication Preferences - ONLY for /communication-preferences

제출하면 귀하가 <a href="/kr/legal/elastic-cloud-account-terms" target="_self">Elastic 서비스 약관</a>을 읽고 이에 동의하며, 위에 제공된 연락처로 <a href="/kr/legal/privacy-statement#how-we-use-the-information" target="_self">선택한 커뮤니케이션</a>을 수신하는 데 동의한 것으로 간주됩니다. 언제든지 수신을 거부할 수 있으며 자세한 내용은 <a href="/kr/legal/privacy-statement/" target="_self">Elastic 개인정보 취급방침</a>을 참조하시기 바랍니다.

By submitting you acknowledge that you've read and agree to our <a href="/legal/serverless-preview-terms" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Serverless GDPR Text

제출하면 귀하가 Elastic <a href="/kr/legal/serverless-preview-terms" target="_self">서비스 약관</a>을 읽고 이에 동의하며, 위에 제공된 세부 정보를 사용하여 Elastic이 관련 제품 및 서비스에 대해 귀하에게 <a href="/kr/legal/privacy-statement#how-we-use-the-information" target="_self">연락할 수 있음</a>을 이해한 것으로 간주됩니다. 언제든지 수신을 거부할 수 있으며 자세한 내용은 <a href="/kr/legal/privacy-statement/" target="_self">Elastic 개인정보 취급방침</a>을 참조하시기 바랍니다.

By submitting you agree to <a href="/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud Terms of Service</a>. Your personal data will be processed in accordance with <a href="/legal/privacy-statement">Elastic's Privacy Statement</a>.

Cloud Trial GDPR Text

제출하면 <a href="/kr/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud 서비스 약관</a>에 동의하시게 됩니다. 개인 데이터는 <a href="/kr/legal/privacy-statement">Elastic의 개인정보 취급방침</a>에 따라 처리됩니다.

By submitting you acknowledge that you've read and agree to our <a href="/legal/terms-of-use" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Newsletter GDPR Text

제출하면 귀하가 Elastic <a href="/kr/legal/terms-of-use" target="_self">서비스 약관</a>을 읽고 이에 동의하며, 위에 제공된 세부 정보를 사용하여 Elastic이 관련 제품 및 서비스에 대해 귀하에게 <a href="/kr/legal/privacy-statement#how-we-use-the-information" target="_self">연락할 수 있음</a>을 이해한 것으로 간주됩니다. 언제든지 수신을 거부할 수 있으며 자세한 내용은 <a href="/kr/legal/privacy-statement/" target="_self">Elastic 개인정보 취급방침</a>을 참조하시기 바랍니다.

Explore similar demos

Overview

Speakers

Close

See more insights

The content on this page is not available in the selected language. As Elastic grows globally, we continue to support content in multiple languages.

The content on this page is not available in the selected language.

이 페이지의 콘텐츠는 선택하신 언어로 제공되지 않습니다. Elastic은 다양한 언어로 콘텐츠를 제공하기 위해 최선을 다하고 있습니다.조금만 더 기다려주세요!

Author

Articles by

Learn more

Watch now (no PT)

Watch now

See all top stories

All (no PT translation)

Contact information

Press Release

Share on Reddit

Share this story

Share by Email

Thank you for your interest!

Contact Info

Follow us on Youtube

Load More

Share on LinkedIn

Follow us on LinkedIn

Search Integrations

All Solutions

Video for

Follow us on Twitter

See when this webinar starts in my time zone

내 표준 시간대로 웨비나 시작 시간 확인하기

Register to Watch

Register now

See All Posts

Can't make it? Register and we'll send you the recording. You'll also receive an email with related content

참여가 어려우신가요? 등록하시면 녹화 자료를 보내드리겠습니다. 이메일로 관련 콘텐츠도 받아보실 수 있습니다.

Small image for

On-demand webinar

Featured webinar

Register to Attend

Share on Facebook

Reset all

Upcoming webinar

View more posts

Print

Hosted by

Sign In to Attend

View next

Follow us on Facebook

Share

Highlights

Read less

You'll also receive an email with related content

이메일을 통해 관련 내용을 보내드리겠습니다.

Thank you for registering. We will send you a confirmation email soon.

등록해 주셔서 감사합니다. 곧 확인 이메일을 보내드리겠습니다.

Author

Articles by Joe Desimone

메모리 시그니처를 이용한 코발트 스트라이크 탐지

Sign up for Elastic Cloud free trial