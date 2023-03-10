보안 솔루션의 차세대 AI 및 머신 러닝 구성 요소는 행동 기반 탐지 기능을 지속적으로 개선하고 있지만, 그 핵심은 여전히 시그니처 기반 탐지에 의존하고 있습니다. Cobalt Strike는 출시 이후 위협 행위자와 레드팀 모두가 사용하는 인기 있는 레드팀 지휘 및 통제(C2) 프레임워크로, 여전히 보안 솔루션의 집중적인 시그니처 탐지 대상입니다.

과거의 Cobalt Strikes 운영 사용을 계속하기 위해 IBM X-Force Red Adversary Simulation 팀은 상당한 연구 개발 노력을 투자하여 내부 툴로 Cobalt Strike를 맞춤화했습니다. 일부 Cobalt Strike 전용 내부 도구에는 'InlineExecute-Assembly', 'CredBandit', 'BokuLoader' 같은 공개 버전이 있습니다. 지난 2년간 Cobalt Strike에 대한 과도한 시그니처 탐지로 인해, 저희는 이를 덜 정교한 위협 행위자 시뮬레이션에만 사용하도록 제한하고, 보다 진보된 레드팀 훈련 수행 시에는 다른 제3자 및 자체 개발 C2를 활용합니다.

연구 개발 노력을 통해 저희는 다음과 같은 고급 레드 팀 훈련에서 더 나은 운영 성공을 거두었습니다.

맞춤형 내부 툴링.

맞춤형 내부 로더.

맞춤형 내부 C2 프레임워크.

대체 제3자 C2 프레임워크의 능력 및 은밀성을 확대하기 위한 투자를 지속합니다.

그러나 여전히 많은 수의 위협 행위자가 Cobalt Strike의 해적판 사본을 악용하고 있으며, 이러한 위협 행위자를 시뮬레이션할 수 있는 능력은 여전히 중요합니다. 연구 및 개발 노력을 기울이려는 레드 팀의 경우 이러한 적들을 시뮬레이션하는 동시에 Cobalt Strike를 사용하여 운영상의 성공을 거둘 수 있습니다. 또한 Cobalt Strike는 훌륭한 학습 도구로, 초보자가 레드 팀 교육 과정을 통해 C2 프레임워크를 직접 사용해 볼 수 있는 데 활용할 수 있습니다.

C2 기능을 지속적으로 확장하면서, 특히 맞춤형 반사 로더를 개발하여 과거에 Cobalt Strike 프레임워크를 구축한 방법에 대한 인사이트를 공유하고자 합니다. 또한 방어자가 Cobalt Strike가 어떻게 작동하여 보다 강력한 탐지를 생성하는지 이해할 수 있도록 하기 위한 것입니다.