
1. 🛠️ 트러블슈팅 및 환경 구성 (Troubleshooting)
공격 시나리오 수행 전 발생한 문제와 해결 방법입니다.
🚨 Issue 1: Payload 다운로드 실패 (HTML 반환)
- 현상: /file/ghost_rat.sh 요청 시 쉘 스크립트 파일이 아닌 Magma UI의 HTML 코드가 다운로드됨.
- 원인: CALDERA Docker 컨테이너는 /usr/src/app/data/payloads/ 경로만 정적 파일로 서빙함. 사용자가 임의의 경로에 넣은 파일은 인식되지 않음.
- 해결(Solution): Docker 실행 시 호스트의 payloads 폴더를 컨테이너 내부 데이터 경로로 마운트해야 함.
# 올바른 Docker 실행 명령어
docker run -it -p 8888:8888 \
-v $(pwd)/payloads:/usr/src/app/data/payloads \
caldera --insecure
🚨 Issue 2: Persistence 권한 거부 (Linux)
- 현상: /var/spool/cron/crontabs/ 경로에 쓰기 시도 시 Permission denied 발생.
- 해결(Solution): Root 권한이 필요한 시스템 Cron 대신, 사용자(User) Cron 등록 방식으로 Ability 수정.
# 수정된 Ability Command
echo "***** /tmp/ghost_rat" > /tmp/mycron
crontab /tmp/mycron
✅ 참고: "Beacon (HTTP): ALIVE" 로그의 의미
- Agent가 C2 서버로부터 명령을 정상적으로 수신하고, 실행 결과를 응답했다는 의미로 공격이 성공적으로 진행 중임을 나타냄.


2. ⚙️ 타겟 시스템 필수 설정 (Prerequisites)
Lateral Movement 성공을 위해 Windows 및 Linux 타겟에서 반드시 선행되어야 하는 설정입니다.
🖥️ Windows Target 설정 (방어 무력화)
- 실시간 보호, 클라우드 전송 보호, 자동 샘플 전송, 변조 보호(Tamper Protection) 모두 끔으로 설정.
-
- 관리자 권한 PowerShell에서 실행:Windows Defender 완전 비활성화 (필수)
Set-ExecutionPolicy Bypass -Scope LocalMachine -Force - PowerShell Execution Policy 변경
- Windows 기능 켜기/끄기: SMB 1.0/CIFS 체크.
- 공유 폴더 생성: C:\share 생성 후 Everyone에게 모든 권한 부여.
- SMB 환경 구성
# 계정 생성 및 관리자 그룹 추가 net localgroup administrators redadmin /add - Lateral Movement용 관리자 계정 생성
🐧 Linux Target 설정 (검증)
smbclient //WINDOWS_IP/share -U redadmin
# 접속 성공 시 "smb: \>" 프롬프트 확인
- SMB 접속 테스트: Linux 웹 서버에서 Windows 공유 폴더 접근이 가능한지 사전 확인 필수.

3. ⚔️ 최종 공격 시나리오 (Kill Chain)
트러블슈팅 완료 후 재정립된 최종 공격 순서입니다.
Step 1: Initial Access (Linux)



- Ability: Andariel - Initial Breach (Struts2 Sim)
- Target: Linux Web Server
- 내용: 취약점을 이용해 초기 거점 확보 및 RAT 다운로드/실행.
Step 2: Internal Recon (Linux)
- Ability: Internal Network Recon
- Target: Linux Web Server
- 내용: 내부 네트워크 환경 정찰.
Step 3: Port Scan (Linux)
- Ability: Andariel - Reliable Port Scan (Linux)
- Target: Linux Web Server
- 내용: Windows 타겟(10.0.20.100)의 SMB(445) 포트 오픈 여부 스캔.
Step 4: SMB Auth Test (Linux)
- Ability: SMB Auth Test (NEW)
- Target: Linux Web Server
- 내용: 확보한 계정 정보(Credential)로 SMB 접속 권한 검증.
Step 5: Lateral Movement (Linux → Windows)
- Ability: Copy 54ndc47 (SMB)
- Target: Linux Web Server → Windows
- 내용: SMB를 통해 Windows 타겟으로 Payload(Agent) 전송 및 복제.
Step 6: Windows Execution
- Ability: Windows PowerShell Baseline Check & Payload
- Target: Windows Client
- 내용: PowerShell을 이용해 타겟 시스템 정보 확인 및 Agent 실행.
Step 7: Exfiltration (Windows)
- Ability: C2 Data Exfiltration
- Target: Windows Client
- 내용: 중요 데이터를 C2 채널을 통해 유출.