메인 콘텐츠로 건너뛰기

Documentation Index

Fetch the complete documentation index at: https://docs.decepticon.red/llms.txt

Use this file to discover all available pages before exploring further.

실제 위협을 에뮬레이션하지 않는 레드팀 인게이지먼트는 단순히 서류 작업이 더 많은 구조화된 모의해킹일 뿐입니다. 위협 에뮬레이션 — 특정 적대자의 TTP를 모방하는 규율 — 이 레드팀 테스팅을 의미 있게 만드는 것입니다.

”위협도 투표권을 가집니다”

redteam.guide에 의해 규정되고 군사 교리에서 상속된 원칙은 간단합니다: 인게이지먼트는 방어자가 계획하는 위협이 아니라 실제로 존재하는 위협에 기반해야 합니다. 자신이 갖고 싶은 위협을 준비하지만 실제로 존재하는 위협을 준비하지 않는 블루팀은 아무것도 준비하지 않은 것입니다. Decepticon은 OPPLAN을 생성하기 전에 명시적인 위협 프로파일을 요구함으로써 이 원칙을 강제합니다.

위협 프로파일

Decepticon은 업계 전반에서 사용되는 7개 필드 위협 프로파일 구조를 채택합니다. 각 인게이지먼트는 프로파일을 선택하거나 작성하는 것으로 시작됩니다:
필드목적예시 (AUTOBANK)
설명위협 수준, 방법, 동기”Carbanak에서 영감을 얻은 재정 동기 APT”
목표 & 의도위협 행위자가 달성하려는 것”SWIFT 인프라 접근하여 사기 전송 수행”
주요 IOC행위자와 관련된 손상 지표특정 C2 도메인, 악성코드 계열, 인증서 패턴
C2 개요채널, 계층, 콜백 패턴DNS, HTTPS, SMB; 클라우드 프런트된 CDN으로의 롱 하울 폴백
TTP전술, 기법, 절차 (MITRE ATT&CK에 매핑)T1566.001 피싱, T1059.001 PowerShell, T1003.001 LSASS
익스플로잇초기 접근 방법매크로가 활성화된 문서를 포함한 스피어 피싱
지속성지속적 존재가 유지되는 방식예약된 작업, WMI 구독, 서비스 하이재킹
위협 프로파일은 위시리스트가 아닙니다 — 제약 조건입니다. Decepticon은 프로파일 외의 기법을 사용하지 않습니다. 왜냐하면 에뮬레이션의 가치는 정확히 블루팀이 그 적대자를 인식하는 방법을 배우는 것이기 때문입니다.

Decepticon이 위협 프로파일을 소비하는 방식

인게이지먼트를 시작할 때, Soundwave 계획 에이전트는 운영자와 면담하고 다음을 생산합니다:
1

임베드된 위협 프로파일을 포함한 ConOps 초안

Soundwave는 7개 필드 템플릿에서 프로파일을 선택하거나 구성한 후 이를 Concept of Operations에 인게이지먼트의 “공식 적대자”로 직조합니다.
2

프로파일 내 TTP로 제한된 OPPLAN 목표

각 목표는 MITRE ATT&CK ID로 태그됩니다. 오케스트레이터는 TTP가 프로파일 범위를 벗어나는 목표를 실행하기를 거부합니다.
3

프로파일 일치로 필터링된 스킬 로딩

Decepticon의 프로그레시브 디스클로저 스킬 시스템은 mitre_attack 태그가 프로파일과 겹치는 스킬만 로드합니다. 프로파일 외 스킬은 에이전트의 워킹 세트에서 제외됩니다.
4

프로파일별 C2 채널 선택

C2 계층 및 채널 선택(Sliver mTLS, HTTPS, DNS)은 프로파일의 실제 트레이드크래프트를 반영하도록 선택되므로 블루팀의 탐지가 올바른 형태에 대해 작동합니다.

위협 프로파일 vs. 모의해킹 범위

모의해킹 범위는 *“이 IP들, 이 앱들, 이 날짜들”*을 말합니다. 위협 프로파일은 *“이 적대자, 이러한 역량으로, 이러한 목표에 의해 동기부여됨”*을 말합니다. 둘은 상호교환 가능하지 않습니다.
모의해킹 범위위협 프로파일
”웹 앱 X 테스트""AUTOBANK의 SWIFT로의 경로 에뮬레이션”
자산 목록으로 제한됨TTP 카탈로그로 제한됨
성공 = 취약점 발견성공 = 블루팀 측정됨
테스터가 선택한 도구적대자가 선택한 도구

커스텀 프로파일 작성

커스텀 프로파일은 Soundwave 스킬 디렉토리의 기본값들과 함께 저장됩니다. 최소 프로파일은 YAML 프론트매터와 산문입니다: 
---
name: cybersnake
description: "에너지 부문을 표적으로 하는 스파이 활동 행위자 — 느리고 인내심 있는 DNS 중심 C2"
goal_intent: "ICS 정찰 및 거주(dwell)"
c2_channels: [dns, https]
c2_tier: long_haul
mitre_attack:
  - T1078.004  # Cloud Accounts
  - T1090.003  # Multi-hop Proxy
  - T1071.004  # DNS C2
exploitation: "손상된 계약자 VPN 크리덴셜"
persistence: "점프 호스트의 서비스 하이재킹"
---

CYBERSNAKE는 소음보다 인내심을 선호합니다. 네트워크 내에서
몇 주 동안 거주한 후 어떤 데이터 이동도 하지 않을 것이며,
모든 C2를 멀티 홉 프록시 체인을 통한 DNS로 라우팅합니다.
이 프로파일이 선택되면, 모든 Decepticon 에이전트는 그 제약 조건을 상속합니다 — 오케스트레이터가 빠른 콜백 C2나 시끄러운 초기 접근 벡터를 실행하기를 거부하는 것을 포함합니다.

스킬 시스템

프로그레시브 디스클로저 스킬 로더가 활성 위협 프로파일과의 ATT&CK 겹침에 따라 어떻게 필터링하는지 확인하세요.