침투 테스트 Red Team & Blue Team 도구

회사의 보안인력 구성하는 방법중에 Red Team 과 Blue Team으로 구분 하는 경우가 있어요.

그래서 각각의 역활동 그들이 사용하는 대표적인 도구를 한번 정리 해보았습니다.

Red Team (공격 팀)

역할: Red Team은 조직의 방어를 우회하고 시스템에 침투하여 취약점을 발견하는 공격자 역할을 수행.
목표:
- 시스템과 네트워크의 보안 취약점을 찾아내고 이를 악용하는 방법을 시연.
- 실제 공격 시나리오를 모사하여 보안 시스템의 효과성을 평가.
- 발견된 취약점을 문서화하고, 이를 기반으로 보안 개선 방안을 제안.
주요 활동:
- 사회 공학적 공격, 피싱, 악성 코드 배포 등을 포함한 다양한 공격 기법을 사용.
- 침투 테스트 도구 및 스크립트를 활용하여 시스템에 대한 공격을 실행
- 공격 후, 침투의 경로와 방법, 피해를 분석하여 보고서를 작성

Blue Team (방어 팀)

역할: Blue Team은 조직의 방어를 담당하며, Red Team의 공격을 방어하고 시스템을 보호하는 역할을 수행
목표:
- 조직의 보안 인프라를 모니터링하고, 공격을 탐지하여 신속하게 대응
- Red Team의 공격을 방어하기 위한 보안 정책 및 절차를 수립하고 유지.
- 침투 테스트 결과를 바탕으로 보안 시스템을 강화
주요 활동:
- 네트워크 및 시스템 로그를 모니터링하여 비정상적인 활동을 탐지
- 보안 경고에 대한 분석 및 대응을 수행
- 침투 테스트 결과에 기반하여 방어 체계를 개선하고 취약점을 패치
- 직원 교육 및 훈련을 통해 보안 인식 강화

요약

Red Team: 공격자로서 취약점을 찾고 악용하여 보안 시스템의 효과성을 평가
Blue Team: 방어자로서 공격을 탐지하고 대응하며, 시스템을 보호하기 위한 방어 전략을 수립

Red Team은 MITRE ATT&CK 프레임워크와 Cyber Kill Chain을 활용하여 공격 시나리오를 개발하고 최신 기법을 학습하며, Blue Team은 이를 통해 위협 탐지, 보안 정책 수립 및 교육을 강화하여 조직의 보안을 효과적으로 향상 시킬수 있다.

Red Team 도구

정찰, 초기접근, 전달, 상황인식, 자격증명, 권한상승, 방어회피, 지속성, 측면이동, 탈출 ,기타 순으로 정리

정찰(Reconnaissance)

도구명	도구설명	사이트 주소
RustScan	현대적인 포트 스캐너로, 빠르게(최대 3초) 포트를 찾고 다양한 스크립트를 실행할 수 있습니다.	RustScan GitHub
Amass	심층 공격 표면 매핑 및 자산 발견 도구로, 다양한 방법으로 정보를 수집합니다.	Amass GitHub
gitleaks	Git 리포지토리에서 하드코딩된 비밀번호, API 키 및 토큰을 탐지하는 SAST 도구입니다.	gitleaks GitHub
S3Scanner	열린 S3 버킷을 스캔하고 내용을 덤프하는 도구입니다.	S3Scanner GitHub
cloud_enum	AWS, Azure 및 Google Cloud의 공개 리소스를 열거하는 다중 클라우드 OSINT 도구입니다.	cloud_enum GitHub
Recon-ng	공개 소스에서 정보를 수집하기 위한 오픈 소스 정보 수집 도구로, 효율적인 데이터 수집을 지원합니다.	Recon-ng GitHub
buster	이메일 정보 수집을 위한 고급 도구로, 다양한 기술을 활용하여 정보를 수집합니다.	buster GitHub
linkedin2username	OSINT 도구로, LinkedIn에서 기업의 사용자 이름 목록을 생성합니다.	linkedin2username GitHub
WitnessMe	웹 인벤토리 도구로, Pyppeteer를 사용하여 웹페이지의 스크린샷을 찍고 추가 기능을 제공합니다.	WitnessMe GitHub
pagodo	Google 해킹 데이터베이스 스크랩 및 검색을 자동화하는 도구입니다.	pagodo GitHub
AttackSurfaceMapper	정찰 프로세스를 자동화하는 도구로, 공격 표면을 효율적으로 분석합니다.	AttackSurfaceMapper GitHub
SpiderFoot	오픈 소스 정보 수집(OSINT) 자동화 도구로, 다양한 데이터 소스와 통합되어 데이터를 쉽게 탐색할 수 있습니다.	SpiderFoot GitHub
dnscan	Python 기반의 단어 목록을 사용하는 DNS 서브도메인 스캐너입니다.	dnscan GitHub
spoofcheck	도메인이 스푸핑될 수 있는지를 확인하는 프로그램으로, SPF 및 DMARC 레코드를 검사하여 취약점을 찾습니다.	spoofcheck GitHub
LinkedInt	LinkedIn 정보 수집 도구입니다.	LinkedInt GitHub
BBOT	Spiderfoot에서 영감을 받은 재귀 인터넷 스캐너로, 더 빠르고 신뢰할 수 있으며 사용자 친화적입니다.	BBOT GitHub
Gato (GitHub Attack Toolkit)	GitHub 조직의 공개 및 비공식 리포지토리 내 파이프라인 취약성을 식별하고 악용하는 도구입니다.	Gato GitHub

초기접근(Initial Access)

Brute Force

도구명	도구 설명	사이트
SprayingToolkit	Lync/S4B, OWA 및 O365에 대한 비밀번호 스프레이 공격을 보다 빠르고 효율적으로 수행하는 스크립트	SprayingToolkit
o365recon	유효한 자격 증명을 통해 O365 정보를 검색	o365recon
CredMaster	개선된 CredKing 비밀번호 스프레이 도구로, FireProx API를 사용하여 IP 주소를 회전하고 익명성을 유지하며 제한을 우회함	CredMaster
Hydra	다양한 프로토콜을 지원하는 강력한 비밀번호 크래킹 도구	Hydra GitHub
Burp Suite	웹 애플리케이션 보안 테스트 도구로, 비밀번호 추측 공격을 위한 플러그인도 지원	Burp Suite
Hashcat	고속 비밀번호 복구 도구로, GPU 가속을 사용하여 해시를 크래킹하는 데 매우 효과적	Hashcat
Medusa	여러 프로토콜을 지원하는 빠르고 유연한 비밀번호 크래킹 도구	Medusa GitHub
RSMangler	강력한 비밀번호 생성기 및 변형 도구로, 사전 공격 및 무작위 공격을 지원	RSMangler GitHub

Payload Development

도구명	도구설명	도구 사이트
Ivy	메모리 내에서 임의의 VBA(매크로) 소스 코드를 실행하기 위한 페이로드 생성 프레임워크입니다.	Ivy GitHub
PEzor	오픈 소스 PE 패커입니다.	PEzor GitHub
GadgetToJScript	.NET 직렬화 가젯을 생성하여 JS/VBS/VBA 스크립트에서 BinaryFormatter를 통해 .NET 어셈블리를 로드/실행할 수 있게 하는 도구입니다.	GadgetToJScript GitHub
ScareCrow	EDR 우회를 위한 페이로드 생성 프레임워크입니다.	ScareCrow GitHub
Donut	VBScript, JScript, EXE, DLL 파일 및 dotNET 어셈블리의 메모리 내 실행을 가능하게 하는 독립 실행 코드입니다.	Donut GitHub
Mystikal	macOS 초기 접근 페이로드 생성기입니다.	Mystikal GitHub
charlotte	완전 탐지되지 않는 셸코드 로더입니다.	charlotte GitHub
InvisibilityCloak	C# 포스트 익스플로잇 도구에 대한 개념 증명(obfuscation) 툴킷입니다.	InvisibilityCloak GitHub
Dendrobate	관리되는 .NET 코드에서 비관리 코드의 훅을 통해 페이로드 개발을 용이하게 하는 프레임워크입니다.	Dendrobate GitHub
Offensive VBA and XLS Entanglement	VBA를 사용한 공격적인 용도의 예제를 제공하는 레포지토리입니다.	Offensive VBA GitHub
xlsGen	4.0 매크로를 *.xls 파일에 내장하는 Tiny Excel BIFF8 생성기입니다.	xlsGen GitHub
darkarmour	Windows AV 우회 도구입니다.	darkarmour GitHub
InlineWhispers	Cobalt Strike의 Beacon Object Files(BOF)에서 직접 시스템 호출을 다루는 도구입니다.	InlineWhispers GitHub
EvilClippy	악성 MS Office 문서를 생성하기 위한 크로스 플랫폼 도구로, VBA 매크로를 숨기고 매크로 분석 도구를 혼란스럽게 할 수 있습니다.	EvilClippy GitHub
OfficePurge	Office 문서에서 P-code를 제거하는 VBA 정리 도구입니다.	OfficePurge GitHub
ThreatCheck	Microsoft Defender / AMSI Consumer가 플래그를 지정하는 바이트를 식별합니다.	ThreatCheck GitHub
CrossC2	CobaltStrike의 크로스 플랫폼 페이로드를 생성하는 도구입니다.	CrossC2 GitHub
Ruler	MAPI/HTTP 또는 RPC/HTTP 프로토콜을 통해 Exchange 서버와 원격으로 상호 작용할 수 있게 해주는 도구입니다.	Ruler GitHub
DueDLLigence	애플리케이션 화이트리스트 우회 및 DLL 사이드 로딩을 위한 셸코드 실행기 프레임워크입니다.	DueDLLigence GitHub
RuralBishop	UrbanBishop의 복제본으로, 모든 P/Invoke 호출이 D/Invoke로 대체된 버전입니다.	RuralBishop GitHub
TikiTorch	CACTUSTORCH의 개념을 기반으로 하여 프로세스를 생성하고 메모리 영역을 할당한 후 원하는 셸코드를 실행하는 도구입니다.	TikiTorch GitHub
SharpShooter	임의의 CSharp 소스 코드를 검색하고 실행하기 위한 페이로드 생성 프레임워크입니다. 다양한 형식으로 페이로드를 생성할 수 있습니다.	SharpShooter GitHub
SharpSploit	C#으로 작성된 .NET 포스트 익스플로잇 라이브러리입니다.	SharpSploit GitHub
MSBuildAPICaller	MSBuild.exe 없이 MSBuild를 사용하는 도구입니다.	MSBuildAPICaller GitHub
macro_pack	MS Office 문서, VB 스크립트 및 기타 형식의 난독화 및 생성을 자동화하는 도구입니다.	macro_pack GitHub
inceptor	템플릿 기반의 AV/EDR 우회 프레임워크입니다.	inceptor GitHub
mortar	보안 제품(AV/EDR/XDR)의 탐지 및 예방을 우회하고 회피하는 기법입니다.	mortar GitHub
ProtectMyTooling	다양한 패커, 난독화 도구 및 기타 Red Team 도구를 연계하여 사용할 수 있는 멀티 패커 래퍼입니다.	ProtectMyTooling GitHub
Freeze	중단된 프로세스, 직접 시스템 호출 및 대체 실행 방법을 사용하여 EDR을 우회하기 위한 페이로드 도구입니다.	Freeze GitHub
Shhhloader	원시 셸코드를 입력받아 다양한 우회 기법을 시도하는 C++ 스텁을 컴파일하는 도구입니다.	Shhhloader GitHub

전달(Delivery)

카테고리이름설명URL

카테고리	도구명	도구 설명	도구 사이트
피싱 도구	o365-attack-toolkit	Office365를 대상으로 한 공격 도구	링크
	Evilginx2	자격 증명 및 세션 쿠키를 피싱하는 MITM 프레임워크	링크
	Gophish	오픈소스 피싱 툴킷	링크
	PwnAuth	OAuth 남용 캠페인을 관리하는 프레임워크	링크
	Modlishka	강력한 리버스 프록시 기능 제공	링크
워터링 홀 공격 도구	BeEF	브라우저를 대상으로 한 공격 도구	링크
명령 및 제어 도구	Cobalt Strike	Red Team 작전용 소프트웨어	링크
	SpecterInsight	.NET 기반의 C2 프레임워크	링크
	Brute Ratel C4	고급 Red Team 및 Adversary Simulation 소프트웨어	링크
	Empire	PowerShell 및 Python 기반의 포스트 익스플로잇 프레임워크	링크
	PoshC2	Red Team 및 포스트 익스플로잇을 위한 C2 프레임워크	링크
	Koadic	JScript 기반 Command & Control 도구	링크
	merlin	Go로 작성된 크로스 플랫폼 C2 서버 및 에이전트	링크
	Mythic	Python3 기반 크로스 플랫폼 포스트 익스플로잇 프레임워크	링크
	Covenant	.NET 기반 C2 프레임워크	링크
	shad0w	높은 보안 환경에서의 포스트 익스플로잇 프레임워크	링크
	Sliver	크로스 플랫폼 임플란트 프레임워크	링크
	SILENTTRINITY	Python 및 .NET DLR 기반 포스트 익스플로잇 에이전트	링크
	Pupy	크로스 플랫폼 원격 관리 도구	링크
	Havoc	현대적인 C2 프레임워크	링크
	NimPlant	Nim으로 작성된 첫 번째 단계 C2 임플란트	링크
	SharpC2	C# 기반 C2 프레임워크	링크
페이로드 스테이징	pwndrop	셀프 배포 파일 호스팅 서비스	링크
	C2concealer	무작위화된 C2 프로필 생성 도구	링크
	FindFrontableDomains	프론트 가능한 도메인 검색 도구	링크
	Domain Hunter	피싱 및 C2 도메인 이름 후보 검색	링크
	RedWarden	유연한 Cobalt Strike Redirector	링크
	AzureC2Relay	Cobalt Strike의 비콘 트래픽을 Azure Functions로 릴레이	링크
	C3	명령 및 제어 채널을 빠르게 개발하는 도구	링크
	Chameleon	프록시 분류 회피 도구	링크
	SourcePoint	C2 프로필 생성기	링크
	RedGuard	C2 프론트 제어 도구	링크
	skyhook	IDS 탐지를 우회하는 HTTP 파일 전송 시스템	링크
로그 집계	RedELK	Red Team 활동을 추적하고 Blue Team 활동을 경고하는 SIEM 도구	링크
	Elastic for Red Teaming	Elastic 설정 리소스	링크
	RedEye	Red & Blue Team 활동을 시각화하는 도구	링크

OS 환경별 도구 정리:

Windows

Cobalt Strike: Windows에서 사용되는 대표적인 Red Team 및 명령 및 제어(C2) 도구입니다.
URL: Cobalt Strike
Empire: PowerShell 기반의 포스트 익스플로잇 도구로, Windows 환경에서 많이 사용됩니다.
URL: Empire
Covenant: .NET 기반으로 Windows 환경을 타깃으로 하는 C2 프레임워크입니다.
URL: Covenant
SharpC2: C#으로 작성된 C2 프레임워크로, Windows 환경에 최적화되어 있습니다.
URL: SharpC2

Linux/Unix

Sliver: 크로스 플랫폼 지원을 하지만 주로 Linux/Unix 환경에서 사용됩니다.
URL: Sliver
PoshC2: Linux 환경에서 운영 가능하며 Windows 시스템을 타겟팅하는 C2 프레임워크입니다.
URL: PoshC2
Mythic: Linux에서 Docker를 기반으로 작동하며, Python으로 작성된 C2 프레임워크입니다.
URL: Mythic
Koadic: JScript를 기반으로 한 RAT 도구로, Linux/Unix 환경에서 쉽게 관리 가능합니다.
URL: Koadic

Cross-Platform

Evilginx2: 다양한 운영체제에서 작동하며, 주로 피싱 공격을 지원하는 MITM 프레임워크입니다.
URL: Evilginx2
Pupy: Windows, Linux, OSX, Android에서 사용할 수 있는 원격 관리 및 포스트 익스플로잇 도구입니다.
URL: Pupy
merlin: Go로 작성되어 모든 주요 OS에서 사용 가능한 C2 프레임워크입니다.
URL: merlin
SILENTTRINITY: .NET DLR과 Python을 기반으로 하여 크로스 플랫폼에서 사용할 수 있습니다.
URL: SILENTTRINITY

Cloud/Hybrid 환경

AzureC2Relay: Azure Functions를 사용하여 Cobalt Strike 비콘 트래픽을 릴레이합니다.
URL: AzureC2Relay
CobaltBus: Azure Servicebus를 이용해 C2 트래픽을 처리하는 도구입니다.
URL: CobaltBus

추가로 소개할 만한 도구:

Phishing 도구

KingPhisher: 피싱 공격 캠페인을 관리하고 분석할 수 있는 오픈소스 도구입니다. 다양한 OS에서 사용할 수 있으며, 이메일 피싱을 쉽게 설정하고 관리할 수 있습니다.
URL: KingPhisher

명령 및 제어 도구

Metasploit: 유명한 공격 프레임워크로, 다양한 운영체제에서 작동합니다. 원격 액세스, 취약점 악용, 포스트 익스플로잇 등을 지원하며 C2 역할도 수행할 수 있습니다.
URL: Metasploit

포스트 익스플로잇 도구

Covenant: .NET 공격의 중요성을 강조하며, Windows 환경에서 매우 유용합니다.
URL: Covenant

로그 수집 및 분석 도구

Prelude Operator: 사이버 보안의 MITRE ATT&CK 매트릭스를 기반으로 한 Red Team 시뮬레이션 및 로그 분석 도구입니다. 다양한 환경에서 작동할 수 있습니다.
URL: Prelude Operator

상황인식(Situational Awareness)

시스템 내부 정보를 수집하고, 네트워크 상태 및 감지되지 않도록 시스템에서 현재 상태를 파악하는 데 사용됩니다.

Situational Awareness 도구 목록

도구명	도구 설명	도구 사이트
Seatbelt	C# 기반의 Windows 시스템 정보를 빠르게 수집할 수 있는 도구	https://github.com/GhostPack/Seatbelt
SharpUp	Windows 환경에서의 권한 상승(Privilege Escalation) 취약점을 탐색하는 도구	https://github.com/GhostPack/SharpUp
HostRecon	Windows 호스트 정보 수집 자동화 도구	https://github.com/fireeye/HostRecon
PowerView	Active Directory 환경의 정보를 수집하고 분석하는 PowerShell 기반 도구	https://github.com/PowerShellMafia/PowerSploit
Sharphound	Active Directory에서 BloodHound를 사용하기 위한 데이터 수집 도구	https://github.com/BloodHoundAD/SharpHound
BloodHound	Active Directory 내에서 권한 상승 경로를 탐색하고 시각화하는 도구	https://github.com/BloodHoundAD/BloodHound
SharpMapExec	SMB, WMI, DCOM을 통해 내부 네트워크를 매핑하고 권한 상승 테스트를 수행하는 도구	https://github.com/byt3bl33d3r/SharpMapExec
Netview	네트워크 공유 및 권한 정보를 탐색하는 도구	https://github.com/mubix/netview
Rubeus	Kerberos 티켓을 덤프하고, 위조 티켓을 생성 및 재사용하는 등의 Kerberos 관련 공격 도구	https://github.com/GhostPack/Rubeus
PowerShell Empire	PowerShell을 통해 원격 명령 실행 및 시스템 정보를 수집하는 멀티플랫폼 도구	https://github.com/EmpireProject/Empire
WinPEAS	Windows 환경에서 권한 상승을 위해 시스템 정보를 수집하는 도구	https://github.com/carlospolop/PEASS-ng

Host Situational Awareness 도구

도구명	도구 설명	도구 사이트
AggressiveProxy	.NET 3.5 binary와 Cobalt Strike aggressor script 조합으로 프록시 설정을 식별해 Cobalt Strike 서버와 통신 가능하게 함	https://github.com/EncodeGroup/AggressiveProxy
Gopher	C# 기반의 저지대(low hanging fruit)를 탐색하는 도구	https://github.com/EncodeGroup/Gopher
SharpEDRChecker	실행 중인 프로세스와 각 프로세스 메타데이터, 로드된 DLL, 설치된 서비스 및 드라이버 메타데이터 등을 체크하여 보안 제품 존재 여부 탐색	https://github.com/PwnDexter/SharpEDRChecker
Situational Awareness BOF	상황 인식 명령을 BOF로 구현한 도구	https://github.com/trustedsec/CS-Situational-Awareness-BOF
Seatbelt	C# 프로젝트로, 시스템의 보안 관련 검사를 수행하는 도구	https://github.com/GhostPack/Seatbelt
SauronEye	특정 키워드를 포함한 파일을 탐색하기 위한 도구	https://github.com/vivami/SauronEye
SharpShares	도메인에서 접근 가능한 네트워크 공유를 열거하는 멀티스레드 C# .NET 도구	https://github.com/mitchmoser/SharpShares
SharpAppLocker	Get-AppLockerPolicy PowerShell cmdlet의 C# 포트로 특정 규칙 및 작업을 필터링하는 기능 포함	https://github.com/Flangvik/SharpAppLocker/
SharpPrinter	네트워크 프린터 목록을 탐색하는 콘솔 도구	https://github.com/rvrsh3ll/SharpPrinter

Domain Situational Awareness 도구

도구	도구 설명	도구 사이트
StandIn	.NET 네이티브로 자원 기반 제한 위임을 수행하는 AD 포스트-컴프로마이즈 툴킷	https://github.com/FuzzySecurity/StandIn
Recon-AD	ADSI 및 반사형 DLL을 기반으로 한 AD 탐색 도구	https://github.com/outflanknl/Recon-AD
BloodHound	AD에서 권한 상승 경로를 시각화하는 도구	https://github.com/BloodHoundAD/BloodHound
PSPKIAudit	Active Directory Certificate Services(AD CS)를 감사하는 PowerShell 툴킷	https://github.com/GhostPack/PSPKIAudit
SharpView	PowerView의 C# 구현	https://github.com/tevora-threat/SharpView
Rubeus	Kerberos 관련 공격을 수행하는 C# 툴셋	https://github.com/GhostPack/Rubeus
nanorobeus	Kerberos 티켓을 관리하는 최소한의 도구	https://github.com/wavvs/nanorobeus
Grouper	AD 그룹 정책에서 취약한 설정을 찾는 PowerShell 스크립트	https://github.com/l0ss/Grouper
ImproHound	AD 계층을 깨는 공격 경로를 BloodHound에서 식별	https://github.com/improsec/ImproHound
ADRecon	Active Directory의 정보를 수집하고 리포트를 생성하는 도구	https://github.com/adrecon/ADRecon
ADCSPwn	인증을 강제하여 기계 계정(Petitpotam)으로부터 인증을 받아 인증서를 재발급하여 권한을 상승시키는 도구	https://github.com/bats3c/ADCSPwn

추가로 소개할 만한 도구

LinEnum: Linux 시스템에서 권한 상승 취약점을 탐지하는 스크립트.
GitHub 링크
Les: Linux 시스템에서 정보를 수집하고 권한 상승 기회를 탐색하는 도구. GitHub 링크

자격증명 획득(Credential Dumping)

해커나 공격자가 시스템에 저장된 사용자 인증 정보(자격 증명)를 추출하는 과정입니다. 이러한 자격 증명에는 일반적으로 사용자의 비밀번호, 세션 토큰, 인증서, 키로거 정보 등이 포함됩니다.

도구	도구설명	도구 사이트
Mimikatz	Kerberos 티켓을 포함한 인증 자격 증명을 덤프하는 도구	https://github.com/gentilkiwi/mimikatz
Dumpert	LSASS 메모리를 시스템 호출을 사용해 덤프하는 도구	https://github.com/outflanknl/Dumpert
CredBandit	메모리 덤프를 수행하여 기존 비컨 통신 채널을 통해 데이터를 전송하는 PoC 도구	https://github.com/xforcered/CredBandit
CloneVault	Windows Credential Manager의 항목을 내보내거나 가져올 수 있는 도구	https://github.com/mdsecactivebreach/CloneVault
SharpLAPS	LAPS(LDAP)에서 패스워드를 조회하는 도구	https://github.com/swisskyrepo/SharpLAPS
SharpDPAPI	Mimikatz 프로젝트의 DPAPI 기능을 C#으로 포팅한 도구	https://github.com/GhostPack/SharpDPAPI
KeeThief	KeePass 2.X에서 키를 추출하거나 트리거 시스템을 백도어로 활용하는 도구	https://github.com/GhostPack/KeeThief
SafetyKatz	Mimikatz와 .NET PE 로더를 결합한 도구	https://github.com/GhostPack/SafetyKatz
forkatz	SeTrustedCredmanAccessPrivilege를 사용하는 자격 증명 덤핑 도구	https://github.com/Barbarisch/forkatz
PPLKiller	LSA 보호(Protected Process Light)를 우회하는 도구	https://github.com/RedCursorSecurityConsulting/PPLKiller
LaZagne	로컬 컴퓨터에 저장된 여러 암호를 검색하고 복구하는 도구	https://github.com/AlessandroZ/LaZagne
AndrewSpecial	LSASS 메모리를 은밀하게 덤프하는 도구	https://github.com/hoangprod/AndrewSpecial
Net-GPPPassword	Group Policy Preferences를 통해 전달된 평문 패스워드를 검색하는 .NET 도구	https://github.com/outflanknl/Net-GPPPassword
SharpChromium	Chromium 브라우저의 쿠키, 저장된 로그인 정보 등을 추출하는 .NET 도구	https://github.com/djhohnstein/SharpChromium
Chlonium	Chromium 쿠키를 클로닝하는 도구	https://github.com/rxwx/chlonium
SharpCloud	AWS, Azure, Google Compute 자격 증명 파일을 검색하는 C# 유틸리티	https://github.com/chrismaddalena/SharpCloud
pypykatz	Mimikatz의 Python 구현	https://github.com/skelsec/pypykatz
nanodump	LSASS 프로세스의 메모리 덤프를 생성하는 Beacon Object File (BOF)	https://github.com/helpsystems/nanodump
Koh	사용자 자격 증명을 포착하는 C# 및 Beacon Object File (BOF) 도구	https://github.com/GhostPack/Koh
PPLBlade	보호된 프로세스의 메모리 덤프를 지원하고 이를 원격 워크스테이션으로 전송하는 도구	https://github.com/tastypepperoni/PPLBlade
TrickDump	NTAPI를 사용하여 LSASS를 덤프하고, JSON 및 ZIP 파일을 생성하여 나중에 Minidump를 생성하는 도구	https://github.com/ricardojoserf/Tri

권한상승(Privilege Escalation)

공격자가 하나의 시스템에서 다른 시스템으로 이동하는 과정을 말합니다. 이는 내부 네트워크에서 권한이 있는 계정을 사용하여 다른 시스템에 접근하거나, 탐색하여 추가적인 정보를 수집하는 것을 포함합니다. 이 과정에서 공격자는 일반적으로 취약점을 찾아 활용하거나, 합법적인 인증 정보를 사용합니다.

도구명	도구 설명	도구 사이트
WinPEAS	Windows 환경에서 권한 상승을 도와주는 도구로, 시스템 취약점, 잘못된 설정 및 권한이 있는 파일을 탐색합니다.	WinPEAS
LinPEAS	Linux 시스템에서 권한 상승 취약점을 찾기 위한 스크립트로, 다양한 시스템 설정 및 파일 권한을 분석합니다.	LinPEAS
BeRoot	Windows, Linux, macOS에서 권한 상승을 탐색하는 도구로, 관리자 권한이 부여된 잘못된 설정이나 취약점을 찾습니다.	BeRoot
PowerUp	PowerShell 기반으로 Windows에서 권한 상승 취약점을 분석하는 도구로, 자동으로 취약한 설정이나 취약점을 탐색합니다.	PowerUp
Dirty Pipe	Linux 커널 취약점(CVE-2022-0847)을 이용하여 권한 상승을 시도하는 도구입니다. 이 취약점은 파일 파이프 취급 과정에서 발생하는 취약점을 악용합니다.	Dirty Pipe
JuicyPotato	Windows 환경에서 COM 서비스와 상호작용을 통해 SYSTEM 권한을 획득하는 도구입니다.	JuicyPotato
RoguePotato	JuicyPotato가 패치된 이후 등장한 대체 도구로, 비슷한 방식으로 SYSTEM 권한을 획득합니다.	RoguePotato
SharpUp	Windows 환경에서 권한 상승 취약점을 탐색하는 C# 도구입니다.	SharpUp
GTFOBins	Linux에서 권한 상승을 시도할 수 있는 특정 바이너리 파일들을 모아놓은 자료입니다.	GTFOBins
ElevateKit	Cobalt Strike의 Beacon 페이로드와 함께 타사 권한 상승 공격을 사용하는 방법을 데모하는 도구입니다.	ElevateKit
Watson	Windows에서 부족한 KB 업데이트를 나열하고 권한 상승 취약점을 제안하는 .NET 도구입니다.	Watson
dazzleUP	Windows 운영체제에서 잘못된 설정과 누락된 업데이트로 인해 발생한 권한 상승 취약점을 탐지하는 도구입니다.	dazzleUP
PEASS	권한 상승 스크립트 모음으로 Windows 및 Linux에서 취약점 및 잘못된 설정을 탐색합니다.	PEASS
SweetPotato	Windows 서비스 계정에서 SYSTEM 권한으로 상승하는 다양한 권한 상승 기법을 모아놓은 도구입니다.	SweetPotato
MultiPotato	SeImpersonate 권한을 통해 SYSTEM 권한을 획득할 수 있는 또 다른 권한 상승 도구입니다.	MultiPotato
KrbRelayUp	LDAP 서명 미사용 설정이 있는 Windows 도메인 환경에서 권한 상승을 시도하는 도구입니다.	KrbRelayUp
GodPotato	ImpersonatePrivilege 권한만 있으면 SYSTEM 권한을 획득할 수 있는 도구입니다.	GodPotato
PrivKit	Windows OS의 잘못된 설정으로 인해 발생한 권한 상승 취약점을 탐지하는 간단한 Beacon 오브젝트 파일입니다.	PrivKit

방어회피(Defense Evasion)

공격자가 보안 시스템을 우회하거나 탐지를 피하기 위해 사용하는 일련의 기법을 의미합니다. 공격자는 방어 메커니즘을 무력화하거나 회피하여 악성 활동이 탐지되지 않도록 합니다.

주요 방어회피 기술은 다음과 같습니다:

파일 인식 회피: 악성 파일이 안티바이러스 소프트웨어나 보안 도구에 의해 탐지되지 않도록 하는 기법입니다. 파일을 난독화하거나 악성 코드를 다른 합법적인 프로그램에 숨기기도 합니다.
메모리 기반 공격: 파일을 디스크에 남기지 않고 메모리 내에서만 실행하여 탐지를 어렵게 합니다. 파일리스(fileless) 악성코드가 대표적입니다.
권한 상승: 시스템에서 더 높은 권한을 획득하여 보안 장치를 무력화하거나 제어합니다.
로그 삭제: 공격 활동의 흔적을 지우기 위해 시스템 로그 파일을 삭제하거나 조작합니다.
악성 소프트웨어 변조: 악성 소프트웨어를 실행 중 탐지되면 이를 회피하기 위해 실행 방식을 변경하거나 잠시 중단하는 기법입니다.

이러한 방어회피 기법을 사용하는 대표적인 Red Team 도구는 다음과 같습니다:

Mimikatz: 암호 및 인증 정보 추출 도구. 이 도구는 탐지를 우회하기 위해 권한 상승과 같은 기법을 활용합니다.
Metasploit: 탐지 회피 기능을 제공하는 강력한 익스플로잇 프레임워크로, 다양한 회피 기법을 테스트할 수 있습니다.
Cobalt Strike: 침투 테스트에 사용되는 상업용 도구로, 다양한 방어 회피 기법을 지원합니다.

이러한 방어회피 기법은 MITRE ATT&CK 프레임워크에서 자세히 설명되어 있으며, TTP(전술, 기술, 절차) 카테고리 중 하나로 분류됩니다.

관련 도구들 입니다.

여기 요청하신 Red Team 방어 회피 도구들을 표로 정리해 보았습니다:

NameDescriptionURL

도구	도구 설명	도구 사이트
RefleXXion	유저 모드 훅을 우회하여 AV/EPP/EDR 등을 무력화하는 유틸리티	RefleXXion
EDRSandBlast	취약한 서명된 드라이버를 이용해 EDR 탐지를 우회하고 LSASS 보호를 무력화	EDRSandBlast
unDefender	심볼릭 링크와 NT 경로를 악용해 안티바이러스 소프트웨어 종료	unDefender
Backstab	안티멀웨어 보호 프로세스를 종료하는 도구	Backstab
SPAWN - Cobalt Strike BOF	희생 프로세스를 생성하고 쉘코드를 주입하여 페이로드를 실행. EDR/UserLand 훅을 우회	SPAWN
BOF.NET	.NET으로 Cobalt Strike BOFs 개발을 지원하는 런타임	BOF.NET
NetLoader	C# 바이너리를 로드하고 AMSI를 패치해 Windows Defender를 우회	NetLoader
FindObjects-BOF	프로세스를 나열하고 특정 모듈 또는 프로세스 핸들을 검색하는 시스템 호출을 사용	FindObjects-BOF
SharpUnhooker	API 훅을 자동으로 해제하는 C# 기반 도구	SharpUnhooker
EvtMute	윈도우 이벤트 로깅을 필터링하여 보안 로그 차단	EvtMute
InlineExecute-Assembly	프로세스 내에서 .NET 어셈블리 실행	InlineExecute-Assembly
Phant0m	윈도우 이벤트 로그를 중지하는 도구	Phant0m
SharpBlock	EDR의 활성 프로젝션 DLL을 우회하는 방법	SharpBlock
NtdllUnpatcher	사용자 모드 훅을 우회하여 EDR 탐지를 테스트할 수 있는 도구	NtdllUnpatcher
DarkLoadLibrary	공격적 운영을 위한 라이브러리 로딩 도구	DarkLoadLibrary
BlockETW	프로세스에서 ETW 원격 측정을 차단하는 .NET 어셈블리	BlockETW
firewalker	훅을 우회할 수 있는 간단한 라이브러리	firewalker
KillDefenderBOF	Beacon Object File 구현으로 KillDefender를 실행	KillDefenderBOF
Mangle	실행 파일의 일부를 조작하여 EDR 탐지를 우회	Mangle
AceLdr	메모리 스캐너 탐지를 피하기 위한 Cobalt Strike UDRL	AceLdr
AtomLdr	고급 회피 기능을 갖춘 DLL 로더	AtomLdr
Inline-Execute-PE	CobaltStrike 비콘에서 관리되지 않은 윈도우 실행 파일 실행	Inline-Execute-PE
SigFlip	인증 서명된 PE 파일의 서명을 무효화하지 않고 패치하는 도구	SigFlip
Blackout	안티멀웨어 보호 프로세스를 종료하는 도구 (BYOVD)	Blackout
ShellGhost	메모리 기반 우회 기법으로 쉘코드를 탐지에서 숨김	ShellGhost
PoolPartyBof	윈도우 스레드 풀을 악용한 프로세스 인젝션 기법	PoolPartyBof
EDRSilencer	Windows Filtering Platform(WFP)을 사용해 EDR 에이전트의 이벤트 보고 차단	EDRSilencer

이 도구들은 주로 방어 회피를 목적으로 하여 다양한 방식으로 보안 시스템을 우회하거나 탐지를 피하는 기능을 제공합니다.

지속성(Persistence)

공격자가 시스템에 침투한 후 지속적으로 접근할 수 있도록 하는 기법입니다. 예를 들어, 악성 소프트웨어가 시스템 재부팅 후에도 자동으로 실행되도록 설정하거나, 백도어를 설치하여 공격자가 언제든지 시스템에 다시 접근할 수 있게 합니다.

Red Team 지속성 도구들에 대한 설명을 표로 정리한 것입니다:

도구	도구명	도구 사이트
SharpStay	지속성 설치를 위한 .NET 프로젝트	SharpStay
SharPersist	C#로 작성된 Windows 지속성 도구 키트	SharPersist
SharpHide	숨겨진 레지스트리 키를 생성하는 도구	SharpHide
DoUCMe	NetUserAdd API를 사용하여 컴퓨터 계정을 생성하는 도구	DoUCMe
A Black Path Toward The Sun	웹 애플리케이션 서버에서 HTTP를 통한 TCP 터널링 도구	ABPTTS
pivotnacci	HTTP 에이전트를 통한 SOCKS 연결 도구	pivotnacci
reGeorg	DMZ를 통과하는 SOCKS 프록시를 생성하는 도구	reGeorg
DAMP	호스트 기반 보안 디스크립터 수정을 통한 지속성 도구	DAMP
IIS-Raid	Microsoft IIS용 네이티브 백도어 모듈	IIS-Raid
SharPyShell	C# 웹 애플리케이션을 위한 작고 난독화된 ASP.NET 웹셸	SharPyShell
ScheduleRunner	지속성과 측면 이동을 위한 유연한 스케줄 작업 도구	ScheduleRunner
SharpEventPersist	이벤트 로그에서 쉘코드를 읽고 쓰는 방식으로 지속성 확보	SharpEventPersist
Kraken	@secu_x11이 개발한 다언어 모듈식 웹셸	Kraken
HiddenDesktop	Cobalt Strike용 HVNC(Hidden Virtual Network Computing)	HiddenDesktop

이 표는 지속성을 유지하고 악성 활동을 계속할 수 있도록 Red Team이 사용하는 다양한 도구들을 설명한 것입니다.

측면이동(Lateral Movement)

도구	도구설명	도구 사이트
Liquid Snake	WMI 이벤트 구독과 GadgetToJScript를 사용해 파일 없는 측면 이동을 수행하는 도구	Liquid Snake
PowerUpSQL	SQL Server 공격을 위한 PowerShell 도구 모음	PowerUpSQL
SQLRecon	공격적 정찰과 포스트 익스플로잇을 위한 C# MS SQL 도구	SQLRecon
SCShell	ChangeServiceConfigA를 사용하여 명령을 실행하는 파일 없는 측면 이동 도구	SCShell
SharpRDP	인증된 명령 실행을 위한 원격 데스크톱 프로토콜 콘솔 애플리케이션	SharpRDP
MoveKit	SharpMove와 SharpRDP .NET 어셈블리를 사용한 Cobalt Strike 측면 이동 확장	MoveKit
SharpNoPSExec	파일 없는 명령 실행을 위한 측면 이동 도구	SharpNoPSExec
Responder/MultiRelay	LLMNR/NBT-NS/mDNS 독극 및 NTLMv1/2 릴레이 도구	Responder
Impacket	SMB1-3 및 MSRPC 프로토콜과 같은 네트워크 프로토콜을 저수준으로 제어할 수 있는 파이썬 클래스 모음	Impacket
Farmer	Windows 도메인에서 NetNTLM 해시를 수집하는 도구	Farmer
CIMplant	CIM 또는 WMI를 사용해 원격 시스템을 쿼리하는 C# 도구	CIMplant
PowerLessShell	MSBuild.exe를 사용해 powershell.exe를 스폰하지 않고 PowerShell 스크립트와 명령을 원격으로 실행하는 도구	PowerLessShell
SharpGPOAbuse	그룹 정책 개체(GPO)의 사용자 편집 권한을 이용해 GPO가 제어하는 객체를 손상시키는 .NET 애플리케이션	SharpGPOAbuse
kerbrute	Kerberos 사전 인증을 통해 유효한 Active Directory 계정을 빠르게 무차별 대입하고 열거하는 도구	kerbrute
mssqlproxy	SQL Server를 통한 소켓 재사용을 이용해 제한된 환경에서 측면 이동을 수행하는 도구	mssqlproxy
Invoke-TheHash	해시 전달 공격을 위한 PowerShell 도구	Invoke-TheHash
InveighZero	침투 테스트를 위한 .NET IPv4/IPv6 MITM 도구	InveighZero
SharpSpray	LDAP를 사용하여 도메인 사용자에 대한 비밀번호 스프레이 공격을 수행하는 C# 도구	SharpSpray
CrackMapExec	네트워크 침투 테스트를 위한 만능 도구	CrackMapExec
SharpAllowedToAct	리소스 기반 제약된 위임(msDS-AllowedToActOnBehalfOfOtherIdentity)을 통해 컴퓨터 객체를 탈취하는 C# 구현	SharpAllowedToAct
SharpRDPHijack	연결이 끊긴 세션에 대한 원격 데스크톱 프로토콜(RDP) 세션 하이재킹 PoC 도구	SharpRDPHijack
CheeseTools	MiscTool을 기반으로 한 도구 모음	CheeseTools
LatLoader	Havoc C2 프레임워크를 사용한 자동화된 측면 이동 PoC 모듈	LatLoader
MalSCCM	로컬 또는 원격 SCCM 서버를 악용하여 악성 애플리케이션을 배포하는 도구	MalSCCM
Coercer	윈도우 서버를 임의의 머신에 인증하도록 강제하는 파이썬 스크립트	Coercer
SharpSploit	.NET 기반의 포스트 익스플로잇 라이브러리	SharpSploit
orpheus	Kerberoast 탐지를 우회하기 위한 수정된 KDC 옵션 및 암호화 유형 사용	orpheus

이 표는 다양한 Red Team 측면 이동 도구들의 기능과 사용 목적을 간단히 요약한 것입니다

* 터널링(Tunneling)

도구	도구설명	도구사이트
Chisel	빠른 TCP/UDP 터널링 도구로, HTTP를 통해 전송되고 SSH로 보호됩니다. 클라이언트와 서버를 모두 포함하는 단일 실행 파일	Chisel
frp	NAT 또는 방화벽 뒤에 위치한 로컬 서버를 인터넷에 노출시키는 빠른 리버스 프록시 도구	frp
ligolo-ng	TUN 인터페이스를 사용하는 고급이면서도 간단한 터널링 도구	ligolo-ng

탈취(Exfiltration)

공격자가 목표 시스템에서 민감한 데이터를 외부로 이동시키는 과정을 의미합니다. 데이터 유출은 이메일, 클라우드 서비스, FTP 등을 통해 이루어질 수 있으며, 이 과정은 공격자의 목표인 데이터 수집을 위해 중요합니다. 일반적으로 이러한 데이터는 암호화되거나, 압축되어 전송됩니다.

도구	도구 설명	도구 사이트
SharpExfiltrate	보안 및 신뢰할 수 있는 채널을 통해 정보를 유출하기 위한 모듈식 C# 프레임워크	SharpExfiltrate
DNSExfiltrator	DNS 요청을 통한 은닉 채널을 사용한 데이터 유출	DNSExfiltrator
Egress-Assess	데이터 유출 탐지 기능을 테스트하는 도구	Egress-Assess
VeilTransfer	실제 위협 행위자가 사용하는 데이터 유출 기법을 시뮬레이션하여 조직의 보안 태세를 평가하고 개선하기 위한 데이터 유출 유틸리티	VeilTransfer

기타(Miscellaneous)

"Red Team 활동 중 파괴"라는 주제는 사이버 보안에서의 공격 시뮬레이션을 다루며, 주로 시스템이나 데이터에 대한 손상을 포함할 수 있습니다. Red Team은 실제 공격자와 유사한 방식으로 기업의 방어 체계를 테스트하여 보안 취약점을 식별하고, 이를 통해 방어 측(Blue Team)의 대응 능력을 강화하는 역할을 합니다.

Red Team 활동 중 파괴의 목적과 방법

목적:
- Red Team의 활동은 보안 시스템의 강점을 평가하고, 취약점을 드러내어 조직이 적절한 방어 전략을 마련하도록 돕는 것입니다.
- 실제 공격을 모방하여 시스템의 보안성을 테스트하며, 방어 팀이 어떤 식으로 반응하는지 관찰합니다.
파괴적 활동의 예:
- 데이터 삭제: 중요한 파일이나 로그 파일을 삭제하여, 복구할 수 있는지 테스트합니다.
- 서비스 중단: 서비스 거부 공격(DoS)을 통해 시스템이 얼마나 잘 대응하는지 평가합니다.
- 랜섬웨어 공격 시뮬레이션: 데이터를 암호화하여 복구 절차를 테스트하고, 대응 계획을 검토합니다.
모범 사례:
- Red Team 활동을 수행할 때는 사전 협의와 명확한 범위 설정이 필요합니다. 이를 통해 불필요한 손상을 방지하고, 조직의 정상 운영에 영향을 주지 않도록 합니다.
ttps
1. Data Destruction (T1485): 공격자가 시스템의 데이터를 삭제하거나 파괴하는 기술로, 주로 랜섬웨어 공격이나 내부자의 악의적 행동으로 나타납니다.
2. Disk Content Wipe (T1561): 저장 장치의 내용을 삭제하여 데이터를 복구할 수 없도록 하는 기법입니다.

기타(Miscellaneous)

권한 상승, 방어 회피, 지속성, 측면 이동, 탈출 외의 모든 공격 기법과 도구를 포함합니다. 여기에는 로그 조작, 시스템 설정 변경, 네트워크 분석 도구 사용, 다양한 스크립트와 자동화 도구 활용 등이 포함됩니다.

- Threat-informed Defense

도구명	도구 설명	도구 사이트
Tidal Cyber	Tidal Cyber는 기업 조직이 적의 행동을 이해하고, 이에 대응하기 위한 방어를 정의, 측정 및 개선할 수 있도록 돕습니다.	링크
Control Validation Compass	이 도구는 위협 모델링 도우미이자 퍼플 팀 콘텐츠 리포지토리로, 보안 및 정보 팀이 10,000개 이상의 공개 기술 및 정책 통제와 2,100개 이상의 공격 보안 테스트를 확인할 수 있도록 안내합니다.	링크

- Cloud

Amazon Web Services (AWS)

도구명	도구 설명	도구 사이트
pacu	AWS 환경의 보안을 테스트하기 위해 설계된 AWS 침투 테스트 프레임워크입니다.	GitHub
CloudMapper	Amazon Web Services (AWS) 환경을 분석하는 도구입니다.	GitHub
Enumerate IAM permissions	AWS 자격 증명 세트와 관련된 권한을 나열하는 도구입니다.	GitHub

Azure


Azure AD Connect password extraction	Azure AD Connect 서버에서 저장된 Azure AD 및 Active Directory 자격 증명을 추출하고 복호화하는 여러 방법을 제공하는 툴킷입니다.	GitHub
Storm Spotter	Azure 및 Azure Active Directory 객체를 그래프 형식으로 시각화하는 Azure Red Team 도구입니다.	GitHub
ROADtools	Azure AD 탐색 프레임워크입니다.	GitHub
MicroBurst: A PowerShell Toolkit for Attacking Azure	Microsoft Azure 보안을 평가하기 위한 스크립트 모음입니다.	GitHub
AADInternals	Azure AD 및 Office 365 관리용 PowerShell 모듈입니다.	GitHub
TeamFiltration	O365 AAD 계정을 나열하고, 스프레이하며, 외부로 유출하고, 백도어를 설정하는 크로스 플랫폼 프레임워크입니다.	GitHub
MAAD Attack Framework	M365 및 Azure AD에 대한 간단하고 빠르며 효과적인 보안 테스트를 위한 공격 도구입니다.	GitHub
GraphRunner	Microsoft Graph API와 상호작용하기 위한 포스트 익스플로잇 도구 모음입니다.	GitHub
ADOKit	Azure DevOps Services를 공격하기 위해 사용할 수 있는 도구킷입니다.	GitHub
TokenTactics	Azure JWT 토큰 조작 도구 모음입니다.	GitHub
Maestro	사용자의 작업에서 Intune/EntraID와 상호작용하기 위해 설계된 포스트 익스플로잇 도구입니다.	GitHub

Adversary Emulation

도구명	도구 설명	도구 사이트
Stratus Red Team	Stratus Red Team은 클라우드를 위한 "Atomic Red Team™"으로, 공격 기술을 세밀하고 독립적으로 모방할 수 있습니다.	GitHub
Prelude Operator	개발자 우선의 고급 보안을 위한 플랫폼으로, 실제 공격을 모방하여 조직을 방어합니다.	Prelude Security
Prelude Build	프로덕션 준비가 된 보안 테스트를 작성하고, 테스트하고 검증하기 위한 오픈 소스 IDE입니다.	Prelude Security
Caldera	Windows 엔터프라이즈 네트워크 내에서 포스트 컴프라미즈 공격 행동을 수행하는 자동화된 공격 시뮬레이터입니다.	GitHub
APTSimulator	시스템을 해킹된 것처럼 보이게 하는 도구를 사용한 Windows 배치 스크립트입니다.	GitHub
Atomic Red Team	MITRE ATT&CK 프레임워크에 매핑된 작은 탐지 테스트입니다.	GitHub
Network Flight Simulator	보안 팀이 보안 제어 및 네트워크 가시성을 평가하는 데 도움을 주기 위해 악성 네트워크 트래픽을 생성하는 경량 유틸리티입니다.	GitHub
Metta	적대적 시뮬레이션을 수행하기 위한 보안 준비 도구입니다.	GitHub
Red Team Automation (RTA)	RTA는 악의적인 기술에 대한 탐지 능력을 테스트하기 위해 블루 팀이 사용할 수 있는 스크립트 프레임워크를 제공합니다.	GitHub
TTPForge	전술, 기술 및 절차(TTP)를 개발, 자동화 및 실행하는 데 도움이 되는 프레임워크입니다.	GitHub

Living Off the Living Off the Land

이름설명URL

도구명	도구 설명	도구 사이트
Living Off The Land Drivers	공격자가 보안 제어를 우회하고 공격을 수행하기 위해 사용하는 Windows 드라이버의 목록입니다.	LOLD Drivers
GTFOBins	로컬 보안 제한을 우회하기 위해 사용할 수 있는 Unix 이진 파일 목록입니다.	GTFOBins
LOLBAS	Living Off The Land 기법에 사용할 수 있는 모든 이진, 스크립트 및 라이브러리를 문서화하는 프로젝트입니다.	LOLBAS
Living Off Trusted Sites (LOTS)	공격자가 피싱, C&C, 데이터 유출 및 도구 다운로드 시 사용하는 인기 있는 합법적 도메인의 목록입니다.	LOTS Project
Filesec	공격자가 사용하는 최신 파일 확장자에 대한 정보를 제공합니다.	Filesec
LOOBins	macOS의 다양한 내장 이진 파일 및 이들이 공격자에게 악용될 수 있는 방법에 대한 정보를 제공합니다.	LOOBins
WTFBins	정상 애플리케이션이 의심스러운 행동을 하는 이진 파일을 카탈로그하는 프로젝트입니다.	WTFBins
Hijack Libs	DLL 하이재킹 후보의 목록을 제공하는 프로젝트입니다.	Hijack Libs

Red Team Scripts

도구명	도구 설명	도구 사이트
RedTeamCCode	Red Team C 코드 리포지토리입니다.	RedTeamCCode
EDRs	Red Team 연습에 유용할 수 있는 EDR(Endpoint Detection and Response) 정보가 포함된 리포지토리입니다.	EDRs
Cobalt Strike Community Kit	사용자 커뮤니티가 작성한 확장 기능을 중앙 집중식으로 모은 Cobalt Strike의 커뮤니티 키트입니다.	Cobalt Strike Community Kit

Red Team Infrastructure