정보보안 스터디 - 29주차 5일 - 레드팀 인프라 구축

 

 

 

전체적으로 봤을 때 

레드팀 로컬 - C2 > 그레이 - 리다이렉터, 피싱서버 > 타겟 

으로 되어있습니다.

 

다른 인프라구축에 비해서 아주 단순한 구조지만 정확한 이해가 필요합니다.

 

 

레드팀 입장에서 설명하자면

도메인: advisary : 보통 해킹을 통해 장악한 도메인을 사용 > 레드팀은 합법적인 도메인 사이트 고대디 등에서 사용

 

리다이렉트: AWS클라우드 > 개별 서버: 메일, 피싱, http리다이렉터, 페이로드 배포 

타겟의 클라우드에서는 바로 C2 서버를 클라우드로 만들어서 리다이렉트하는 것을 안좋아하기 때문에

일단 합법적인 리다이렉트 서버를 만들어 놓고 타겟이 해당 서버로 접속하면 C2서버로 바로 리다이렉트 해주는 구조입니다.

   

데브옵스 : 빠르고 간편하게 하기위해 kubernetes , terraform 등 이용

 

레드팀 로컬도 보안을 신경써야하기 때문에 인터넷에 오픈되어서 (쇼단으로 검색가능) 아무나 들어올 수 있게 할 수 없게

로컬에서 outbound로는 갈 수 있지만 inbound 안되게 해놓습니다. 

 

 

리다이렉트 서버 구축

ssh-keygen -f rsa -b 2048 -f guccissh -q -N ""

로 키페어를 만들어서 

ssh 들어갈 땐 비밀번호 보다는 키페어로 들어갈 수 있도록합니다.

 

 

python3 -m http.server 80

리다이렉터 소캣리슨 80

ssh -i guccissh ubuntu@18.188.56.x -R 2222:127.0.0.1:80

 

까지 적용시켜서 확인해보면 public ip로 웹서버가 연결되어있습니다. 

 

 

 

나중에 피싱서버로 활용하기 위해 타이포그래피 기법을 이용해서 gucci0.com-> www.gucci0.com 와 같이 사용합니다. 

네임서버는 기본적으로 4개가 생성되며 AWS에서 관리하기 위해서 도메인관리사이트에서 추가합니다.

도메인까지 A >>> www.gucci0.com 연결시키면 됩니다.

 

nslookup www.gucci0.com 확인

nslookup -type=NS gucci0.com 로 네임서버 확인

-type=A A레코드확인

 

 

havoc프레임워크 페이로드를 뿌릴 때는

원래컴퓨터로 하지말고 vpc 윈도우 인스턴스 만들어서 RDP 연결 하도록합니다.

그전에 pem 키페어도 따로 만든 후에 연결하면 됩니다. 

해당 주소로 들어가 페이로드를 다운받고 실행하면 하복에 연결됩니다. 

 

 

살짝 네트워크 상으로 리다이렉트 원리가 이해가 안가서

확실히 알고 넘어갑시다.