> ## Documentation Index
> Fetch the complete documentation index at: https://docs.decepticon.red/llms.txt
> Use this file to discover all available pages before exploring further.

# 위협 에뮬레이션

> 위협도 투표권을 가집니다 — Decepticon이 어떻게 위협 프로파일을 실행 가능한 인게이지먼트로 변환하는지

실제 위협을 에뮬레이션하지 않는 레드팀 인게이지먼트는 단순히 서류 작업이 더 많은 구조화된 모의해킹일 뿐입니다. **위협 에뮬레이션** — 특정 적대자의 TTP를 모방하는 규율 — 이 레드팀 테스팅을 의미 있게 만드는 것입니다.

## "위협도 투표권을 가집니다"

[redteam.guide](https://redteam.guide/docs/Concepts/red-teaming/)에 의해 규정되고 군사 교리에서 상속된 원칙은 간단합니다: **인게이지먼트는 방어자가 계획하는 위협이 아니라 실제로 존재하는 위협에 기반해야 합니다.**

자신이 갖고 싶은 위협을 준비하지만 실제로 존재하는 위협을 준비하지 않는 블루팀은 아무것도 준비하지 않은 것입니다. Decepticon은 OPPLAN을 생성하기 전에 명시적인 위협 프로파일을 요구함으로써 이 원칙을 강제합니다.

## 위협 프로파일

Decepticon은 업계 전반에서 사용되는 7개 필드 위협 프로파일 구조를 채택합니다. 각 인게이지먼트는 프로파일을 선택하거나 작성하는 것으로 시작됩니다:

| 필드          | 목적                             | 예시 (AUTOBANK)                                       |
| ----------- | ------------------------------ | --------------------------------------------------- |
| **설명**      | 위협 수준, 방법, 동기                  | "Carbanak에서 영감을 얻은 재정 동기 APT"                       |
| **목표 & 의도** | 위협 행위자가 달성하려는 것                | "SWIFT 인프라 접근하여 사기 전송 수행"                           |
| **주요 IOC**  | 행위자와 관련된 손상 지표                 | 특정 C2 도메인, 악성코드 계열, 인증서 패턴                          |
| **C2 개요**   | 채널, 계층, 콜백 패턴                  | DNS, HTTPS, SMB; 클라우드 프런트된 CDN으로의 롱 하울 폴백           |
| **TTP**     | 전술, 기법, 절차 (MITRE ATT\&CK에 매핑) | T1566.001 피싱, T1059.001 PowerShell, T1003.001 LSASS |
| **익스플로잇**   | 초기 접근 방법                       | 매크로가 활성화된 문서를 포함한 스피어 피싱                            |
| **지속성**     | 지속적 존재가 유지되는 방식                | 예약된 작업, WMI 구독, 서비스 하이재킹                            |

<Info>
  위협 프로파일은 위시리스트가 아닙니다 — 제약 조건입니다. Decepticon은 프로파일 외의 기법을 사용하지 않습니다. 왜냐하면 에뮬레이션의 가치는 정확히 블루팀이 *그 적대자*를 인식하는 방법을 배우는 것이기 때문입니다.
</Info>

## Decepticon이 위협 프로파일을 소비하는 방식

인게이지먼트를 시작할 때, **Soundwave** 계획 에이전트는 운영자와 면담하고 다음을 생산합니다:

<Steps>
  <Step title="임베드된 위협 프로파일을 포함한 ConOps 초안">
    Soundwave는 7개 필드 템플릿에서 프로파일을 선택하거나 구성한 후 이를 Concept of Operations에 인게이지먼트의 "공식 적대자"로 직조합니다.
  </Step>

  <Step title="프로파일 내 TTP로 제한된 OPPLAN 목표">
    각 목표는 MITRE ATT\&CK ID로 태그됩니다. 오케스트레이터는 TTP가 프로파일 범위를 벗어나는 목표를 실행하기를 거부합니다.
  </Step>

  <Step title="프로파일 일치로 필터링된 스킬 로딩">
    Decepticon의 프로그레시브 디스클로저 스킬 시스템은 `mitre_attack` 태그가 프로파일과 겹치는 스킬만 로드합니다. 프로파일 외 스킬은 에이전트의 워킹 세트에서 제외됩니다.
  </Step>

  <Step title="프로파일별 C2 채널 선택">
    C2 계층 및 채널 선택(Sliver mTLS, HTTPS, DNS)은 프로파일의 실제 트레이드크래프트를 반영하도록 선택되므로 블루팀의 탐지가 올바른 형태에 대해 작동합니다.
  </Step>
</Steps>

## 위협 프로파일 vs. 모의해킹 범위

모의해킹 범위는 \*"이 IP들, 이 앱들, 이 날짜들"\*을 말합니다. 위협 프로파일은 \*"이 적대자, 이러한 역량으로, 이러한 목표에 의해 동기부여됨"\*을 말합니다. 둘은 상호교환 가능하지 않습니다.

| 모의해킹 범위     | 위협 프로파일                      |
| ----------- | ---------------------------- |
| "웹 앱 X 테스트" | "AUTOBANK의 SWIFT로의 경로 에뮬레이션" |
| 자산 목록으로 제한됨 | TTP 카탈로그로 제한됨                |
| 성공 = 취약점 발견 | 성공 = 블루팀 측정됨                 |
| 테스터가 선택한 도구 | 적대자가 선택한 도구                  |

## 커스텀 프로파일 작성

커스텀 프로파일은 Soundwave 스킬 디렉토리의 기본값들과 함께 저장됩니다. 최소 프로파일은 YAML 프론트매터와 산문입니다:

```yaml theme={null}
---
name: cybersnake
description: "에너지 부문을 표적으로 하는 스파이 활동 행위자 — 느리고 인내심 있는 DNS 중심 C2"
goal_intent: "ICS 정찰 및 거주(dwell)"
c2_channels: [dns, https]
c2_tier: long_haul
mitre_attack:
  - T1078.004  # Cloud Accounts
  - T1090.003  # Multi-hop Proxy
  - T1071.004  # DNS C2
exploitation: "손상된 계약자 VPN 크리덴셜"
persistence: "점프 호스트의 서비스 하이재킹"
---

CYBERSNAKE는 소음보다 인내심을 선호합니다. 네트워크 내에서
몇 주 동안 거주한 후 어떤 데이터 이동도 하지 않을 것이며,
모든 C2를 멀티 홉 프록시 체인을 통한 DNS로 라우팅합니다.
```

이 프로파일이 선택되면, 모든 Decepticon 에이전트는 그 제약 조건을 상속합니다 — 오케스트레이터가 빠른 콜백 C2나 시끄러운 초기 접근 벡터를 실행하기를 거부하는 것을 포함합니다.

<Card title="스킬 시스템" icon="book-open" href="/ko/features/skill-system">
  프로그레시브 디스클로저 스킬 로더가 활성 위협 프로파일과의 ATT\&CK 겹침에 따라 어떻게 필터링하는지 확인하세요.
</Card>
