CALDERA
MITRE에서 개발한 사이버 보안 프레임워크로 다양한 공격(방어도 가능) 에뮬레이션을 테스트해볼 수 있다.
사용하다보면 작은 오류들이 있긴하지만 대부분 큰 틀에서는 문제 없는 수준이고, 웹 인터페이스부터 REST API 제공까지 다양한 방식을 통해 공격을 테스트해볼 수 있는 C2를 쉽게 운용할 수 있다. 또한 다양한 플러그인 등을 통해 쉽게 기능을 확장 가능하다.
단점이라면 Agent를 이미 피해자 단말기에게 설치한 상태로 공격이 진행되는만큼 네트워크 상의 공격이나 초기 접근 (Initial Access) 부분은 스킵한 형태로 진행돼 Endpoint 중심의 공격 에뮬레이터라고 보면 된다.
이 중에서도 CTID Adversary Emulation Library에서 정리된 APT29, FIN6 등 유명한 공격 그룹의 공격 방식을 CALDERA에서 그대로 구현 가능한 EMU 플러그인이 존재한다.
칼데라 프레임워크는 에뮬레이션을 통해 공격자들을 가상으로 설정하고 이를 탐지 및 대응하기 위한 목적으로 설계됐습니다. 악의적 목적의 사용을 금해주시고 이에 대한 법적 책임은 온전히 본인에게 있습니다
Install
설치 방법은 해당 github에 상세히 설명돼있다. (도커 방식도 지원한다)
Linux나 MacOS기반에 Python, GoLang 등을 사용하고 있으며 필자는 Ubuntu 22.04.03 LTS를 기반으로 구성했다.
•
설치 명령어
# git, pip3 설치가 안돼있을 경우
sudo apt install git
sudo apt install python3-pip
# 필수X Go lang 설치
sudo apt install golang-go
Bash
복사
git clone https://github.com/mitre/caldera.git --recursive
cd caldera
pip3 install -r requirements.txt
Bash
복사
•
실행
python3 server.py --insecure
Bash
복사
Run
Q: Caldera 로그인이 안돼요!
A: caldera/conf/loacl.yml 파일 최하단의 계정 정보를 확인
플러그인 중 Training 플러그인이 있어 이를 통해 따라가며 기능들을 테스트해볼 수 있다.
트레이닝 탭은 CTF 형식으로 각각의 기능을 수행하게 되면 FLAG를 획득할 수 있고 모든 Flag를 획득하면 해당 내역을 제출해 관련 Certification을 받을 수 있는 것으로 알고 있다.
Emu Plugin Enable
기존 칼데라 실행 플러그인을 보면 해킹그룹들을 에뮬레이팅 할 수 있는 Emu 플러그인이 없는 걸 확인할 수 있다.
칼데라 설치 폴더의 caldera/conf/local.yml 파일의 plugins 파트에 -emu 를 추가해준다.
(insecure 모드로 칼데라를 실행할 경우 default.yml 을 수정해야 한다. 그냥 둘다 추가하는 게 맘이 편하다)
이후 칼데라를 재실행하면 CTID의 위 라이브러리부로부터 에뮬레이션 공격 데이터들을 받아온다.
python3 server.py --fresh
Bash
복사
zlib1g / pyminizip error
일부 해킹 그룹들은 추가적인 페이로드가 필요해 emu에서 다음 쉘코드 실행을 통해 payloads 디렉토리에 다운받는다.
대부분의 파일들은 해킹 공격에 자주 사용되는 프로그램들로 백신 등에 탐지되거나 악용될 수 있으니 취급에 주의하자
#curl 없을 경우 설치
sudo apt install curl
#caldera 설치 폴더에서
cd /plugins/emu
./download_payloads.sh
Bash
복사
ADfind.zip password
이후 칼데라를 들어가보면 Emu 플러그인이 활성화 된 것을 확인할 수 있다.
이후 Adversary 탭에 관련 모델들이 생성돼 그대로 활용하여 모의 공격 진행이 가능하다.
