🌋

CALDERA - EMU Install

CALDERA

Caldera™ is a cyber security framework designed to easily run autonomous breach-and-simulation exercises. It can also be used to run manual red-team engagements or automated incident response.

https://caldera.mitre.org/

MITRE에서 개발한 사이버 보안 프레임워크로 다양한 공격(방어도 가능) 에뮬레이션을 테스트해볼 수 있다.

사용하다보면 작은 오류들이 있긴하지만 대부분 큰 틀에서는 문제 없는 수준이고, 웹 인터페이스부터 REST API 제공까지 다양한 방식을 통해 공격을 테스트해볼 수 있는 C2를 쉽게 운용할 수 있다. 또한 다양한 플러그인 등을 통해 쉽게 기능을 확장 가능하다.

단점이라면 Agent를 이미 피해자 단말기에게 설치한 상태로 공격이 진행되는만큼 네트워크 상의 공격이나 초기 접근 (Initial Access) 부분은 스킵한 형태로 진행돼 Endpoint 중심의 공격 에뮬레이터라고 보면 된다.

이 중에서도 CTID Adversary Emulation Library에서 정리된 APT29, FIN6 등 유명한 공격 그룹의 공격 방식을 CALDERA에서 그대로 구현 가능한 EMU 플러그인이 존재한다.

칼데라 프레임워크는 에뮬레이션을 통해 공격자들을 가상으로 설정하고 이를 탐지 및 대응하기 위한 목적으로 설계됐습니다. 악의적 목적의 사용을 금해주시고 이에 대한 법적 책임은 온전히 본인에게 있습니다

Install

caldera

mitre

설치 방법은 해당 github에 상세히 설명돼있다. (도커 방식도 지원한다)

Linux나 MacOS기반에 Python, GoLang 등을 사용하고 있으며 필자는 Ubuntu 22.04.03 LTS를 기반으로 구성했다.

Get Ubuntu | Download | Ubuntu

Download Ubuntu desktop, Ubuntu Server, Ubuntu for Raspberry Pi and IoT devices, Ubuntu Core and all the Ubuntu flavours. Ubuntu is an open-source software platform that runs everywhere from the PC to the server and the cloud.

https://ubuntu.com/download

•

설치 명령어

# git, pip3 설치가 안돼있을 경우
sudo apt install git
sudo apt install python3-pip
# 필수X Go lang 설치
sudo apt install golang-go
Bash
복사

git clone https://github.com/mitre/caldera.git --recursive
cd caldera
pip3 install -r requirements.txt
Bash
복사

•

실행

python3 server.py --insecure
Bash
복사

Run

설치 이후 http://localhost:8888 로 접속해 red/admin 기본 아이디/비밀번호로 접속하면 된다.

Q: Caldera 로그인이 안돼요! A: caldera/conf/loacl.yml 파일 최하단의 계정 정보를 확인

플러그인 중 Training 플러그인이 있어 이를 통해 따라가며 기능들을 테스트해볼 수 있다.

트레이닝 탭은 CTF 형식으로 각각의 기능을 수행하게 되면 FLAG를 획득할 수 있고 모든 Flag를 획득하면 해당 내역을 제출해 관련 Certification을 받을 수 있는 것으로 알고 있다.

Emu Plugin Enable

기존 칼데라 실행 플러그인을 보면 해킹그룹들을 에뮬레이팅 할 수 있는 Emu 플러그인이 없는 걸 확인할 수 있다.

칼데라 설치 폴더의 caldera/conf/local.yml 파일의 plugins 파트에 -emu 를 추가해준다.

(insecure 모드로 칼데라를 실행할 경우 default.yml 을 수정해야 한다. 그냥 둘다 추가하는 게 맘이 편하다)

adversary_emulation_library

center-for-threat-informed-defense

이후 칼데라를 재실행하면 CTID의 위 라이브러리부로부터 에뮬레이션 공격 데이터들을 받아온다.

python3 server.py --fresh
Bash
복사

zlib1g / pyminizip error

일부 해킹 그룹들은 추가적인 페이로드가 필요해 emu에서 다음 쉘코드 실행을 통해 payloads 디렉토리에 다운받는다.

대부분의 파일들은 해킹 공격에 자주 사용되는 프로그램들로 백신 등에 탐지되거나 악용될 수 있으니 취급에 주의하자

#curl 없을 경우 설치
sudo apt install curl
#caldera 설치 폴더에서
cd /plugins/emu
./download_payloads.sh
Bash
복사

ADfind.zip password

이후 칼데라를 들어가보면 Emu 플러그인이 활성화 된 것을 확인할 수 있다.

이후 Adversary 탭에 관련 모델들이 생성돼 그대로 활용하여 모의 공격 진행이 가능하다.

✓ 다른 [정리] 포스트

베트남 환전 왜 한국에서 하면 안될까? (한국 vs 공항 vs 금은방)

Travel

베트남 환전 왜 한국에서 하면 안될까? (한국 vs 공항 vs 금은방)

Travel

Ollama 윈도우 LLM 사용 (구글 Gemma)

내부망 메신저 구축 - Rocket.Chat

Setting

내부망 메신저 구축 - Rocket.Chat

Setting

Zeek for Hunting Splunk app

Security

Zeek for Hunting Splunk app

Security

CALDERA - EMU for Offline Setting

Security

CALDERA - EMU for Offline Setting

Security

Python Jail Escape (Hack.lu CTF 2023 Safest Eval)

Security

Python Jail Escape (Hack.lu CTF 2023 Safest Eval)

MALTEGO (One License)

Security

MALTEGO (One License)

Security

Shodan, Censys, CriminalIP

Security

Shodan, Censys, CriminalIP

Security

Google Hacking / Dork

Security

Google Hacking / Dork

Security

︎ 더 많은 게시물을 보려면

Blog - AbsolRoot

︎ 작성자가 궁금하면?

박필근 | AbsolRoot