레드팀인프라구축_05_오퍼레이터 서버 설정

1. 개요

오퍼레이터 서버(Operator Server)는 레드팀 작전의 지휘 통제소이다.
공격자(Operator)는 C2 서버에 직접 접속하지 않고, 반드시 이 오퍼레이터 서버를 경유(Jump Host)하여 C2에 명령을 내린다. 또한, 정찰(Recon), 스캐닝, 익스플로잇 등 대부분의 공격 행위를 이 서버에서 수행하거나, 이 서버를 프록시로 사용하여 수행한다.

2. 필수 공격 도구 설치(Arsenal Setup)

Ubuntu 22.04 기반의 오퍼레이터 서버에 필수적인 도구들을 설치한다.

2.1 기본 패키지 및 언어 환경

sudo apt update -y
sudo apt install -y zip unzip golang-go pipx proxychains4 nmap vim tmux python3-dev build-essential
sudo apt install -y ruby ruby-dev liblzma-dev libffi-dev

# 윈도우 원격 관리 툴
sudo gem install evil-winrm

2.2 클라우드 공격 도구(AWS CLI)

클라우드 환경에 대한 정찰 및 공격을 위해 최신 버전의 AWS CLI를 설치한다.

cd /opt
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

2.3 최신 공격 프레임워크(Pipx 활용)

Python 기반의 도구들은 의존성 충돌 방지를 위해 pipx로 설치하는 것이 권장된다.

pipx install git+https://github.com/Pennyw0rth/NetExec  # AD/Network Pentesting(CrackMapExec 후속)
pipx install impacket                                   # Windows Protocol Interaction
pipx install bbot                                       # OSINT Automation
pipx ensurepath

3. C2 서버 원격 접속(Multiplayer Mode)

Sliver는 서버(C2)와 클라이언트(Operator)가 분리된 구조를 지원한다.

1. Client 바이너리 준비: C2 서버와 동일한 버전의 sliver-client 바이너리를 오퍼레이터 서버에 위치시킨다.
2. Config Import: C2 서버에서 생성하여 가져온 오퍼레이터 프로필(.cfg)을 로드한다.

   ./sliver-client import ./choi_at_10.0.1.5.cfg
   

3. 접속:

   ./sliver-client
   

   이제 오퍼레이터는 안전한 위치에서 원격으로 C2 서버에 명령을 내릴 수 있다. 서버가 다운되거나 재시작되어도 오퍼레이터의 작업 환경(Shell)은 유지된다.

4. 로컬 프록시 활용 전략

오퍼레이터 서버에 모든 툴을 설치하기 번거롭거나 GUI 툴이 필요한 경우, 오퍼레이터 서버를 단순한 SOCKS 프록시로만 활용할 수 있다.

• SSH Dynamic Port Forwarding:

  #(공격자 로컬 PC에서 실행)
  ssh -D 1080 -N -f user@[Operator_Server_IP]
  

• 활용: 로컬 PC(Kali 등)의 proxychains 설정에 127.0.0.1:1080을 등록하면, 로컬에서 실행하는 툴(Nmap, Burp Suite 등)의 트래픽이 오퍼레이터 서버를 타고 나가는 효과를 얻는다.