<aside> 💡 2023년 AAR 기준 주요 악성코드 정리 기본적으로는 XDR을 통해 미리 탐지하거나, network log를 통해 발생하는 통신을 탐지해서 막아야 할 것으로 보임

</aside>

Cobalt Strike

본래 보안 취약점을 점검하기 위한 Pen-Testing Tool
성능이 워낙 좋아서 악성코드로도 자주 활용

탐지방법

Havoc

GitHub - HavocFramework/Havoc: The Havoc Framework.

post-exploitation C2 framework
working hour 설정 가능 ⇒ 따라서 모든 시간에 로그가 잡히는게 아님

탐지방법

모든 패킷이 raw binary data로 구성되며, 아래의 형태를 가짐 ⇒ magic value를 통해 필터링 가능할 듯

 Header:
    [ SIZE         ] 4 bytes = sizeof(packet)
    [ Magic Value  ] 4 bytes = 0xdeadbeef
    [ Agent ID     ] 4 bytes = random 32bit
    [ Request ID   ] 4 bytes = random 32bit
    [ COMMAND ID   ] 4 bytes

 Packed data:
    ... (depends on the COMMAND ID)

Quasar

GitHub - quasar/Quasar: Remote Administration Tool for Windows

Windows 대상의 Remote Access Tool

TLS 통신을 함

---------------------------------------------------------------------
|                                                                   |
|  TLS application data                                             |
|      -----------------------------------------------------------  |
|      |       4 bytes         |             x bytes             |  |
|      |    message length     |       serialized message        |  |
|      -----------------------------------------------------------  |
--------------------------------------------------------------------

즉, Initial handshake 존재
message serialization: Protocol Buffer v3 사용

탐지방법

TLS 통신을 풀어야 의심 여부를 확신 가능
- message de-serialize 까지 하면 통신내용도 탐지 가능

Cobalt Strike

탐지방법

Havoc

탐지방법

Quasar

탐지방법

Sliver