[2024 동계 모각코] 2025-01-28(화) 결과

1. Redirectors와 Proxy 학습

1.1. 개요 및 역할

• C2 인프라 구성에서 직접적인 C2 서버 노출 방지를 위한 리다이렉터 및 프록시 활용
• 리다이렉터: 클라이언트 요청 수신, 실제 C2 서버 전달, 실제 서버 위치 은폐 기능
• 프록시: 외부 트래픽 중계, 추가 익명성 및 트래픽 위장 기능 제공

1.2. 리다이렉터와 프록시의 역할 및 설정 방법

• 리다이렉터: 클라이언트와 C2 서버 간 직접 통신 우회, C2 서버 IP 및 도메인 은폐
  • 설정 시 리다이렉터 서버 내 포트 포워딩, URL 리다이렉션 규칙 적용
• 프록시: 트래픽 중계, 클라이언트 요청의 프록시 서버 전송 구성
  • 일반적으로 HTTP/HTTPS 프록시 활용, 프록시 서버 내 인증 및 암호화 설정 추가

1.3. HTTPS 프록시 구성

• HTTPS 프록시: 암호화된 트래픽 중계, 외부 통신 내용 파악 방지 기능
• 설정 방법
  • 프록시 서버 내 SSL/TLS 인증서 설치
  • 서버 설정 파일 내 HTTPS 포트(예: 443번 포트) 개방, 클라이언트 요청 수신 구성
  • 웹 서버 또는 리버스 프록시 소프트웨어(예: Nginx, HAProxy) 활용, 프록시 역할 수행 구성

1.4. 도메인 프론팅 기법

• 도메인 프론팅: 신뢰할 수 있는 도메인(예: 클라우드 서비스 제공업체 도메인) 활용, 실제 C2 서버 통신 위장 기법
• 기법 적용 효과: 네트워크 모니터링 도구 내 트래픽 정상 웹 트래픽 오인 유도
• 설정: 실제 C2 서버 도메인 은폐, 프록시 서버 또는 리다이렉터를 통한 신뢰 도메인 기반 트래픽 전달 구성

2. C2 서버 인프라 구축

2.1. C2 인프라의 기본 구조

• C2 인프라 구성 요소
  • Beacon 또는 에이전트: 목표 시스템 내 설치, C2 서버와 주기적 통신
  • 중앙 통제 서버(Teamserver): Beacon 통신 관리, 명령 전달
  • 리다이렉터 및 프록시: C2 서버 위치 은폐, 트래픽 위장 중간 계층
• 구조 효과: 직접적인 C2 서버 노출 최소화, 안전한 통신 유지

2.2. C2 서버 인프라 구축 시 고려사항

• 구축 전 고려사항: 격리된 테스트 네트워크 또는 가상 환경 내 서버 및 네트워크 환경 구축, 검증
• 운영 관리: 리다이렉터 및 프록시 서버 위치와 설정 주기적 점검, 트래픽 로그 분석 통한 비정상 접근 여부 확인
• 도메인 프론팅 적용 고려사항: 신뢰할 수 있는 도메인 사용, 인증서 관리 및 암호화 설정 철저

2.3. 인프라 운영 시 보안 고려사항

• 서버 접근 통제: C2 인프라 접근 IP 및 사용자에 대한 엄격한 제어
• 암호화: SSL/TLS 등을 통한 모든 통신 암호화, 도청 및 트래픽 분석 방지
• 로그 모니터링: 실시간 로그 분석, 이상 징후 탐지 통한 침해 시도 조기 차단
• 정기 업데이트: C2 서버, 리다이렉터, 프록시 소프트웨어 최신 보안 패치 적용, 취약점 최소화

2.4. 인프라 구축 및 운영 예시

• 테스트 환경 구성: 가상 머신 활용, C2 서버, 리다이렉터, 프록시 서버 별도 네트워크 영역 구축
• 구성 단계
  1. C2 서버 설치 및 Beacon 설정
  2. 리다이렉터 서버 설정: 포트 포워딩, URL 리다이렉션 적용
  3. HTTPS 프록시 구성: Nginx 또는 HAProxy 활용, SSL/TLS 인증서 적용, 443번 포트 설정
  4. 도메인 프론팅 적용: 신뢰할 수 있는 도메인 활용, 트래픽 위장 설정
• 운영 및 모니터링: 정기적인 로그 분석, 보안 점검 통한 인프라 운영 상태 확인

 

📎 참고 자료

• Cobalt Strike 공식 문서 및 사용자 가이드
• Nginx, HAProxy 등 프록시 서버 설정 관련 자료
• 도메인 프론팅 기법 관련 최신 보안 연구 및 사례 분석