레드팀인프라구축_02_인프라 구축 준비

1. 공격자 도메인 확보(Domain Acquisition)

인프라 구축의 첫 단추는 신뢰할 수 있는 도메인을 확보하는 것이다.

1.1 만료 도메인(Expired Domain)의 필요성

신규 도메인을 등록하면 보안 장비로부터 "생성된 지 얼마 안 된 도메인"으로 분류되어 차단될 확률이 높다. 따라서 과거에 사용되었다가 만료된 도메인을 구매하는 것이 유리하다.

• Age: 도메인 생성일(Birth Year)이 오래될수록 신뢰도가 높다.
• Reputation: 과거 정상적으로 운영된 이력은 긍정적인 평판 점수로 이어진다.

1.2 ExpiredDomains.net 활용 전략

도메인 검색 사이트(expireddomains.net)를 이용하여 적절한 도메인을 필터링한다.

1. 검색 필터(Deleted Domains):

   • Domain Name: health, news, dev, marketing 등 일반적이고 의심스럽지 않은 키워드 포함.
   • Backlinks(BL): 최소 10개 이상. 타 사이트에서 링크된 이력은 도메인의 신뢰도를 높여준다.
   • Birth Year(ABY): 최소 2021년 이전(2~3년 이상) 생성된 도메인.
   • Top Level Domain(TLD): .com, .net, .org 등 인지도가 높은 최상위 도메인 권장.(.xyz, .top 등 저가형 도메인은 피할 것)

2. 구입 전 검증:

   • 평판 조회: VirusTotal, Cisco Talos 등에서 해당 도메인이 악성(Malware, Phishing)으로 분류된 적이 있는지 확인한다.
   • 구입: Namecheap 등의 레지스트라를 통해 구입하며, Whois Privacy 기능을 켜서 공격자의 개인정보를 숨겨야 한다.

2. 클라우드 인프라 구축(AWS)

도메인 확보 후, 실제 서버를 운영할 AWS 환경을 구성한다.

2.1 네트워크 설계(VPC Design)

안정적인 공격 환경을 위해 독립된 VPC(Virtual Private Cloud)를 생성한다.

1. Region: ap-northeast-2(서울) 권장.(지연 시간 최소화)
2. VPC 생성:
   • 이름: RedTeam-VPC
   • CIDR: 10.0.0.0/16
3. Subnet 생성:
   • 외부 통신이 필요하므로 Public Subnet으로 구성.
   • CIDR: 10.0.1.0/24
   • Auto-assign Public IP: Enable(활성화). EC2 생성 시 별도 설정 없이도 공인 IP를 받도록 한다.
4. Internet Gateway(IGW):
   • IGW 생성 후 VPC에 연결(Attach).
   • Route Table: 0.0.0.0/0(모든 외부 트래픽)의 경로를 IGW로 설정하여 인터넷 연결을 활성화한다.

2.2 핵심 서버 구축(EC2)

Ubuntu Server 22.04 LTS(t2.micro) 기반으로 3대의 서버를 생성한다. 각 서버는 보안 그룹(Security Group)을 통해 접근 제어를 수행해야 한다.

OpSec 주의: 실무에서는 SSH(22) 포트를 0.0.0.0/0으로 개방하지 않고, 공격자(Operator)의 특정 IP만 허용하는 것이 원칙이다.

2.3 인스턴스 정보 기록

생성된 각 서버의 Public IP와 Private IP를 별도로 기록해 둔다.
특히 C2 서버의 Private IP는 추후 Redirector가 트래픽을 토스할 목적지 주소로 사용되므로 정확히 파악해야 한다.