코발트

코발트 설명

코발트는 17년 동안 이 운영 체제에 존재했던 마이크로소프트 윈도우의 취약점을 악용해 확산되는 악성코드 감염이다. Cobalt가 사용하고 있는 취약점 CVE-2017-11882는 17년 동안 존재했지만 2017년 11월 Microsoft에 의해 공개되고 패치되었습니다. 이 취약점을 이용하여 사이버 범죄자들은 Cobalt를 사용하여 위협을 전달할 수 있었습니다. Strike는 취약점을 테스트하는 데 사용되는 도구입니다.

오랫동안 지켜온 코발트의 비밀

코발트는 Visa(신용카드 회사)의 알림처럼 보이는 스팸 이메일 메시지를 통해 전달되며, 이는 러시아에서 PayWave 서비스의 규칙 변경을 알리는 것으로 추정됩니다. 피해자는 'Изменения в системе безопасности.doc Visa payWave.doc'이라는 RTF 문서와 같은 이름의 아카이브 파일을 받습니다. 이메일 메시지에 첨부된 아카이브 파일 형태로 위협을 보내는 것은 위협을 전달하는 매우 일반적인 방법입니다. 이러한 공격에 대해 암호로 보호된 아카이브를 사용하는 것은 위협을 탐지하기 위해 안전한 환경에서 파일을 추출하기 때문에 자동 분석 시스템이 파일을 분석하는 것을 방지하는 안전한 방법입니다. 그러나 동일한 메시지에 손상된 DOC 파일과 아카이브를 모두 포함하는 사회 공학적 측면이 있습니다.

Cobalt 전달에 사용되는 유해 문서를 열면 PowerShell 스크립트가 백그라운드에서 실행됩니다. 이 스크립트는 사이버 범죄자가 감염된 컴퓨터를 제어할 수 있도록 피해자의 컴퓨터에 Cobalt를 다운로드하고 설치합니다. Cobalt 공격 중에 여러 스크립트가 다운로드되어 실행되어 결국 피해자의 컴퓨터에 Cobalt를 다운로드하여 설치합니다. 감염된 컴퓨터에서 CVE-2017-11882 익스플로잇이 실행되면 난독화된 JavaScript 파일이 다운로드되어 감염된 컴퓨터에서 실행됩니다. 이것은 다른 PowerShell 스크립트를 다운로드한 다음 Cobalt를 감염된 컴퓨터의 메모리에 직접 로드합니다. PowerShell 스크립트는 컴퓨터를 보다 편리하고 효율적으로 사용하는 강력한 방법이 될 수 있지만 컴퓨터의 내부 작동과 상호 작용하는 방식과 그 능력으로 인해 이러한 스크립트는 위협 공격에 사용되는 선호 도구 중 하나가 되었습니다. 코발트가 메모리에 직접 로드되고 손상된 DLL 파일이 피해자의 하드 드라이브에 기록되지 않기 때문에 안티바이러스 프로그램이 코발트 공격이 수행되고 있는지 감지하기가 더 어렵습니다.

코발트 공격이 사용자와 기계에 미치는 영향

Cobalt가 피해자의 컴퓨터에 설치되면 Cobalt를 사용하여 감염된 컴퓨터를 제어하고 동일한 네트워크의 다른 컴퓨터 시스템에 이 위협 요소를 설치할 수 있습니다. 공식적으로는 Cobalt Strike가 침투 테스트를 위한 도구로 알려져 있지만 이 경우 위협 공격을 수행하는 데 사용됩니다. 사이버 범죄자는 항상 위협을 전달하는 새로운 방법을 찾고 있습니다. 새로운 취약점은 상당히 위협적이지만 이와 같은 매우 오래된 취약점은 원래 제대로 해결되지 않았을 수 있으며 컴퓨터 사용자에게도 위협이 됩니다. 많은 컴퓨터 사용자가 소프트웨어와 운영 체제를 정기적으로 패치하지 않는다는 사실을 기억하십시오. 이는 많은 PC가 꽤 오래된 많은 악용에 취약하며 경우에 따라 많은 안티바이러스 프로그램에서 간과된다는 것을 의미합니다.

코발트와 같은 위협으로부터 컴퓨터 보호

대부분의 위협과 마찬가지로 신뢰할 수 있는 보안 프로그램을 사용하는 것이 코발트 및 이와 유사한 위협에 대한 최상의 보호입니다. 그러나 이러한 공격에는 오래된 소프트웨어 악용이 관련되어 있으므로 PC 보안 연구원은 컴퓨터 사용자에게 소프트웨어와 운영 체제가 최신 보안 패치로 완전히 업데이트되었는지 확인하도록 조언합니다. 이를 통해 컴퓨터 사용자는 보안 소프트웨어를 사용하는 것만큼이나 위협 및 기타 문제를 예방할 수 있습니다.