메인 콘텐츠로 건너뛰기

Documentation Index

Fetch the complete documentation index at: https://docs.decepticon.red/llms.txt

Use this file to discover all available pages before exploring further.

개요

Decepticon은 Sliver C2를 커맨드 앤 컨트롤 프레임워크로 통합하여, 실제 적대적 수준의 포스트 익스플로잇을 가능하게 합니다: 임플란트 배포, 세션 관리, 크리덴셜 수집, C2 채널을 통한 측면 이동. C2는 사후에 덧붙여진 것이 아닙니다 — 작전 네트워크 아키텍처의 핵심 구성 요소입니다.

C2 활성화

Sliver C2는 Docker Compose 프로파일을 통해 활성화됩니다: 
COMPOSE_PROFILES=c2-sliver decepticon
이 명령은 Kali 샌드박스 및 타겟 인프라와 함께 작전 네트워크(sandbox-net)에 Sliver 팀 서버를 추가합니다.

아키텍처

┌─────────────────────────────────────────────────┐
│                 sandbox-net (작전)                │
│                                                   │
│  ┌──────────┐  ┌──────────┐  ┌───────────────┐  │
│  │   Kali   │  │  Sliver  │  │    타겟       │  │
│  │ 샌드박스  │←→│ 팀 서버  │←→│  인프라       │  │
│  └──────────┘  └──────────┘  └───────────────┘  │
│       ↑                                           │
│  sliver-client                                    │
│  (사전 설치됨)                                     │
└─────────────────────────────────────────────────┘
C2 팀 서버는 전적으로 작전 네트워크에서 실행됩니다 — 관리 인프라와 완전히 격리되어 있습니다. C2 트래픽은 네트워크 경계를 넘지 않습니다.

기능

임플란트 생성 및 배포

에이전트가 타겟 환경에 맞춤화된 Sliver 임플란트를 생성하고 확보된 접근 경로를 통해 배포합니다:
  • 플랫폼 — Windows, Linux, macOS
  • 형식 — 셸코드, 실행파일, 공유 라이브러리
  • 회피 — 난독화, 커스텀 빌드

C2 채널

다양한 통신 채널을 지원합니다:
채널용도은닉 수준
mTLS기본값 — 암호화, 안정적중간
HTTPS일반 웹 트래픽에 혼합높음
DNSDNS 쿼리를 통한 터널링매우 높음

C2 세션을 통한 포스트 익스플로잇

임플란트가 세션을 수립하면, 포스트 익스플로잇 에이전트가 이를 통해 작동합니다:
  • 크리덴셜 수집 — 침해된 호스트에서 크리덴셜, 토큰, 키를 덤프
  • 측면 이동 — 수립된 C2 세션을 통해 내부 시스템으로 피벗
  • 내부 정찰 — 경계 내부에서 네트워크를 매핑하고, 서비스를 열거하며, 새로운 타겟을 발견
  • 지속성 — 장기 접근 메커니즘 수립

프로파일 기반 설정

C2 프레임워크는 Docker Compose 프로파일을 통해 교체 가능합니다. 현재 Sliver만 구현되었으며 배포되고 있습니다 — 프로파일 시스템은 추가 프레임워크(Havoc, Mythic 등)를 나중에 플러그인할 수 있도록 설계되었지만, 그들은 아직 이용 불가능합니다: 
# Sliver C2 — 유일하게 지원되는 프레임워크 (기본값)
COMPOSE_PROFILES=c2-sliver

# 향후 릴리스를 위한 계획 (아직 이용 불가능):
# COMPOSE_PROFILES=c2-havoc
# COMPOSE_PROFILES=c2-mythic

인프라

C2 트래픽을 관리 영역과 분리하는 격리된 네트워크 아키텍처를 알아보세요.