이 문서는 Cato Cloud 보안 스택의 IPS 보안 서비스가 Cobalt Strike를 이용한 악성 소프트웨어 공격으로부터 네트워크를 보호하는 방법을 설명합니다.
Cobalt Strike는 위협 행위자와 보안 전문가가 다양한 목적으로 사용하는 잘 알려진 대적 시뮬레이션 도구입니다. 이 기사에서는 Cobalt Strike의 악의적인 사용에 기반한 공격으로부터 보호하기 위해 Cato Cloud가 사용하는 기술을 개괄합니다.
이 섹션에서는 Cobalt Strike 공격을 식별하고 방어하는 데 사용하는 IPS 서비스의 기술을 설명합니다.
Cobalt Strike는 종종 시스템에 악성 소프트웨어를 다운로드하기 위해 PowerShell을 활용합니다. 이를 해결하기 위해 IPS 엔진은 Cobalt Strike와 관련된 의심스러운 PowerShell 활동을 모두 차단하도록 구성되어, 악성 페이로드의 도입을 방지합니다.
Cobalt Strike는 명령 및 제어(C2) 서버와의 통신에 고유한 HTTP 식별자를 사용합니다. Cato의 IPS는 이러한 고유 식별자를 식별하고 차단하여 C2 통신을 무력화하고 네트워크를 잠재적 위협으로부터 보호합니다.
Cobalt Strike는 공격자가 악용할 수 있는 권한 상승 옵션을 제공합니다. 이 위험을 완화하기 위해 IPS는 C2 서버가 대상 시스템에서 권한 상승을 실행하려는 시도를 모두 차단하여 고급 권한에 대한 무단 접근을 방지합니다.
Cobalt Strike는 손상된 시스템을 제어하기 위해 사전 정의된 포스트 익스플로잇 명령에 의존합니다. IPS는 C2 서버가 발행한 이러한 명령의 실행을 감지하고 차단하여, 손상된 호스트를 조작하려는 시도를 모두 좌절시킵니다.
Cobalt Strike는 PSexec, SSH, SMB, WinRM을 포함하여 네트워크 내에서 내부 이동을 위한 다양한 기술과 도구를 사용합니다. 이러한 전술을 무력화하기 위해 IPS는 의심스러운 활동 모니터링 (SAM)과 함께 이 프로토콜과 기술을 효율적으로 감지하고 차단할 수 있습니다. 이는 네트워크 내에서 위협의 내부 확산을 방지합니다.
Cobalt Strike는 감지를 피하기 위해 Gmail, Bing, Pandora와 같은 인기 있는 서비스를 모방하여 유연한 C2 프로필을 자주 사용합니다. 이 정교한 회피 기술에 대응하기 위해 IPS는 Cobalt Strike의 유연한 C2 프로필 사용을 식별하고 차단하도록 특별히 설계된 감지 방법을 사용합니다. 이 사전 대응 조치는 악성 트래픽을 양성 서비스로 위장하려는 시도를 효과적으로 차단하여 네트워크의 보안을 강화합니다.
댓글 0개
댓글을 남기려면 로그인하세요.