ctrl-adam/Panoptes
GitHub: ctrl-adam/Panoptes
Panoptes 是一个基于 Telegram C2 通道的教育性红队实验室框架,用于在授权环境中模拟端点监控、持久化与数据收集,以支撑安全检测研究和防御培训。
Stars: 7 | Forks: 0
# 🛡️ Panoptes - Endpoint Telemetry 与 C2 模拟框架(教育性红队实验室)
授权的安全研究平台,旨在在受控实验室环境中研究 endpoint 监控概念、命令与控制(C2)架构以及防御性检测方法。
本教育性模拟侧重于了解远程管理框架如何生成 telemetry、安全运营中心(SOC)如何检测可疑行为模式,以及防御分析师如何通过 MITRE ATT&CK 框架映射的视角调查异常系统活动。
专为网络安全培训、红队演练和隔离环境中的防御研究而开发,用于研究攻击技术与防御对策。
## 🔍 概述
Panoptes 是一个受控的网络安全研究模拟平台,使安全专业人员能够在授权的测试环境中研究远程系统监控概念和命令与控制(C2)架构。
该平台提供了一个综合框架,用于分析远程管理工具如何生成 endpoint telemetry、系统监控如何产生可检测的 artifacts,以及安全团队如何针对可疑活动开发检测规则和调查工作流。
**快速部署**方法需要**管理员权限**,因为该模拟框架没有内置的规避技术。此方法专为授权的实验室环境设计,在该环境中,使用提升的权限执行 `.bat` 文件,以演示持久性机制和 Windows Defender 排除配置——这是安全培训演练中的常见场景。可以在授权的测试环境中通过受控的 USB 投放,或教育环境中的模拟社会工程学场景来执行此部署方法。
**高级部署**方法演示了用于研究目的的自定义 AV 规避技术。参与者编译**自定义可执行文件**以研究复杂的威胁如何绕过安全控制。此方法非常适合红队培训演练,并且可以通过模拟的软件分发场景或授权的物理访问测试进行部署,因为它**不需要管理员权限**即可运行。研究人员可以在编译之前将他们自己的**持久性机制**添加到**主 Python 文件**中,以研究各种持久性技术。
## 🚀 部署方法(授权的实验室环境)
### 方法 1:快速部署(实验室测试需要管理员权限)
```
custom_name.tmp + deploy.bat
```
**第 1 步:安装所需依赖** 以管理员身份打开命令提示符并运行: ``` pip install requests pycryptodome opencv-python pillow pyperclip pynput sounddevice psutil win32crypt nuitka ``` 如果缺少任何模块,请单独安装: ``` pip install "module name" pip install requests pip install pycryptodome ```
**第 2 步:使用 Nuitka 编译** 编译以创建独立的可执行文件: ``` nuitka --onefile --follow-imports --windows-disable-console --include-package=requests --include-package=pycryptodome --include-package=cv2 --include-package=PIL --include-package=pyperclip --include-package=pynput --include-package=sounddevice --include-package=psutil --include-package=win32crypt main.pyw ``` 这将创建一个没有控制台窗口的 `.exe` 文件。
**第 3 步:为实验室模拟重命名文件** 重命名已编译的文件(命令提示符): ``` ren system.exe custom_name.tmp ``` *重命名为 `.tmp` 演示了用于研究和检测测试的常见文件伪装技术*
**第 4 步:更新批处理文件** 在第 16 行更新 `deploy.bat` 为您的新文件名: ``` set "SOURCE_FILE=%~dp0custom_name.tmp" ```
**第 5 步:在实验室环境中部署** 将这两个文件添加到同一文件夹中,并以管理员身份运行 `deploy.bat` - 批处理文件演示了自动化的 Windows Defender 排除配置 - 通过计划任务/注册表创建持久性(用于检测研究) - 以完整的系统权限执行模拟 payload **适用于:** 明确允许系统访问的授权实验室环境、安全培训演练和受控的红队模拟。
### 方法 2:高级自定义部署(研究重点) ``` custom_app.exe (Packed / Obfuscated) ``` **工作原理:** - 修改 ```main.pyw``` 以创建用于检测研究的独特可执行文件 - 将 ```"TOKEN"``` 和 ```"ID"``` 替换为您在实验室中配置的 Telegram Bot Token 和 ID - 使用加壳、混淆、文件填充、代码签名和其他规避技术来研究 AV 绕过方法 - 由于您编译的可执行文件演示了规避技术,您可以模拟合法的程序部署 - 在受控环境中部署 payload 以测试防御能力 **适用于:** 高级红队培训、检测工程研究以及研究规避技术的授权安全评估演练。
## 🛠️ 功能(教育性研究特性) ### 📡 Telemetry 收集 - **实时屏幕 Telemetry** - 用于 SOC 分析的实时桌面监控数据 - **Webcam 数据捕获** - 用于研究场景的摄像头画面收集 - **音频捕获** - 麦克风数据收集与分析 - **屏幕活动记录** - 用于取证的桌面活动捕获 ### ⌨️ 输入模式分析 - **按键模式分析** - 输入行为监控与定期报告 - **剪贴板活动监控** - 数据流分析和模式检测 - **进程行为分析** - 系统活动跟踪和异常检测 ### 📁 数据访问模拟 - **浏览器数据分析** - 研究存储的凭据模式和浏览习惯 - **文件系统访问** - 远程文件浏览和提取模拟 - **WiFi 安全分析** - 研究保存的凭据存储模式 - **系统画像** - 用户、计算机和网络枚举 ### 🔧 系统控制(授权环境) - **进程管理** - 查看和终止正在运行的进程以进行研究 - **远程命令** - 在受控实验室中执行系统命令 - **用户交互模拟** - 显示消息和错误模拟 - **系统控制** - 关机、重启和持久性管理 ### 💰 金融安全研究 - **剪贴板注入模拟** - 演示加密货币地址操纵技术 - **自定义地址管理** - 研究地址替换模式以开发防御措施
## 📋 命令参考(研究框架) ### Telemetry 收集命令 ``` /start - Initialize lab environment connection /screenshot - Capture desktop screenshot for analysis /picture - Take webcam photo for testing /audio [seconds] - Record microphone for analysis /record [seconds] - Record screen activity for study /live screen - Start live desktop telemetry stream /live camera - Start live webcam telemetry stream /live mic - Start live microphone telemetry stream /stop - Stop all active telemetry streams ``` ### 系统分析命令 ``` /system - Get system information for profiling /location - Get approximate geolocation data /processes - List running processes for analysis /kill [pid] - Terminate process (research purposes) /wifi - Export saved WiFi passwords for security study /clipboard - Show clipboard history for analysis ``` ### 数据收集命令 ``` /steal - Extract browser login data for credential analysis /history - Get browser history for behavior study /downloads - Get download history for research /files [path] - Browse file system for analysis /download [path] - Download remote file for study ``` ### 控制命令(授权环境) ``` /msg [text] - Display message to test user interaction /error - Show fake error message for social engineering research /shutdown - Force system shutdown (authorized labs only) /restart - Force system restart (authorized labs only) /crypto - Show cryptocurrency address configuration /swap [crypto] [address] - Set swap address for research ``` ### 监控命令 ``` /keylogger on - Start keystroke monitoring research /keylogger off - Stop keylogger data collection ```
## 🔧 技术架构(研究框架) ### 持久性机制(检测研究) - 创建计划任务(研究检测机会) - 注册表 Run 键(了解常见的持久性) - 服务安装(分析系统交互) ### 模拟功能 - 用于研究场景的进程名称管理 - Temp 文件夹操作研究 - AV 排除配置研究 ### 通信 - 集成 Telegram bot API 用于实验室控制 - 文件上传/下载功能 - 用于研究的实时命令执行
## 📊 性能指标 - **实时流传输**:3 秒间隔 - **键盘记录器更新**:30 秒报告 - **文件操作**:最大上传 50MB - **进程监控**:显示限制为 25 个进程
## 🔒 安全研究考量 - 在临时目录中运行以进行隔离 - 使用系统标准通信通道 - 实现错误处理以确保稳定性 - 包含用于实验室环境的清理机制
## ⚖️ 法律与道德框架 本平台专为受控环境中的授权安全测试、教育研究和防御培训演练而设计。所有部署均需获得系统所有者的明确授权,并且必须遵守所有适用的法律和法规。用户对获得适当的授权和确保合法使用负全责。对于任何误用,开发者不承担任何责任,并强烈强调此工具仅旨在通过合法的研究和培训来改善网络安全防御。
## 🔬 教育与研究价值 本项目演示了关键的网络安全概念,包括: - 远程管理框架架构 - 多种持久性技术的实现 - AV 规避和检测绕过策略 - 实时 telemetry 收集方法 - Telegram C2 通信模式 - 用于提升安全意识的社会工程学攻击向量 - 用于开发防御措施的物理安全评估技术 - MITRE ATT&CK 框架映射与分析 ### 研究应用: - **SOC 培训**:开发和测试检测规则 - **红队演练**:练习授权的模拟场景 - **蓝队开发**:了解攻击模式以进行防御 - **取证分析**:研究 artifacts 和入侵指标 - **安全评估**:评估系统监控能力 - **学术研究**:在受控环境中研究网络安全概念 *专为教育性网络安全研究和授权的安全测试而构建。所有使用都必须在受控环境中进行,并须获得系统所有者的明确许可。*
**第 1 步:安装所需依赖** 以管理员身份打开命令提示符并运行: ``` pip install requests pycryptodome opencv-python pillow pyperclip pynput sounddevice psutil win32crypt nuitka ``` 如果缺少任何模块,请单独安装: ``` pip install "module name" pip install requests pip install pycryptodome ```
**第 2 步:使用 Nuitka 编译** 编译以创建独立的可执行文件: ``` nuitka --onefile --follow-imports --windows-disable-console --include-package=requests --include-package=pycryptodome --include-package=cv2 --include-package=PIL --include-package=pyperclip --include-package=pynput --include-package=sounddevice --include-package=psutil --include-package=win32crypt main.pyw ``` 这将创建一个没有控制台窗口的 `.exe` 文件。
**第 3 步:为实验室模拟重命名文件** 重命名已编译的文件(命令提示符): ``` ren system.exe custom_name.tmp ``` *重命名为 `.tmp` 演示了用于研究和检测测试的常见文件伪装技术*
**第 4 步:更新批处理文件** 在第 16 行更新 `deploy.bat` 为您的新文件名: ``` set "SOURCE_FILE=%~dp0custom_name.tmp" ```
**第 5 步:在实验室环境中部署** 将这两个文件添加到同一文件夹中,并以管理员身份运行 `deploy.bat` - 批处理文件演示了自动化的 Windows Defender 排除配置 - 通过计划任务/注册表创建持久性(用于检测研究) - 以完整的系统权限执行模拟 payload **适用于:** 明确允许系统访问的授权实验室环境、安全培训演练和受控的红队模拟。
### 方法 2:高级自定义部署(研究重点) ``` custom_app.exe (Packed / Obfuscated) ``` **工作原理:** - 修改 ```main.pyw``` 以创建用于检测研究的独特可执行文件 - 将 ```"TOKEN"``` 和 ```"ID"``` 替换为您在实验室中配置的 Telegram Bot Token 和 ID - 使用加壳、混淆、文件填充、代码签名和其他规避技术来研究 AV 绕过方法 - 由于您编译的可执行文件演示了规避技术,您可以模拟合法的程序部署 - 在受控环境中部署 payload 以测试防御能力 **适用于:** 高级红队培训、检测工程研究以及研究规避技术的授权安全评估演练。
## 🛠️ 功能(教育性研究特性) ### 📡 Telemetry 收集 - **实时屏幕 Telemetry** - 用于 SOC 分析的实时桌面监控数据 - **Webcam 数据捕获** - 用于研究场景的摄像头画面收集 - **音频捕获** - 麦克风数据收集与分析 - **屏幕活动记录** - 用于取证的桌面活动捕获 ### ⌨️ 输入模式分析 - **按键模式分析** - 输入行为监控与定期报告 - **剪贴板活动监控** - 数据流分析和模式检测 - **进程行为分析** - 系统活动跟踪和异常检测 ### 📁 数据访问模拟 - **浏览器数据分析** - 研究存储的凭据模式和浏览习惯 - **文件系统访问** - 远程文件浏览和提取模拟 - **WiFi 安全分析** - 研究保存的凭据存储模式 - **系统画像** - 用户、计算机和网络枚举 ### 🔧 系统控制(授权环境) - **进程管理** - 查看和终止正在运行的进程以进行研究 - **远程命令** - 在受控实验室中执行系统命令 - **用户交互模拟** - 显示消息和错误模拟 - **系统控制** - 关机、重启和持久性管理 ### 💰 金融安全研究 - **剪贴板注入模拟** - 演示加密货币地址操纵技术 - **自定义地址管理** - 研究地址替换模式以开发防御措施
## 📋 命令参考(研究框架) ### Telemetry 收集命令 ``` /start - Initialize lab environment connection /screenshot - Capture desktop screenshot for analysis /picture - Take webcam photo for testing /audio [seconds] - Record microphone for analysis /record [seconds] - Record screen activity for study /live screen - Start live desktop telemetry stream /live camera - Start live webcam telemetry stream /live mic - Start live microphone telemetry stream /stop - Stop all active telemetry streams ``` ### 系统分析命令 ``` /system - Get system information for profiling /location - Get approximate geolocation data /processes - List running processes for analysis /kill [pid] - Terminate process (research purposes) /wifi - Export saved WiFi passwords for security study /clipboard - Show clipboard history for analysis ``` ### 数据收集命令 ``` /steal - Extract browser login data for credential analysis /history - Get browser history for behavior study /downloads - Get download history for research /files [path] - Browse file system for analysis /download [path] - Download remote file for study ``` ### 控制命令(授权环境) ``` /msg [text] - Display message to test user interaction /error - Show fake error message for social engineering research /shutdown - Force system shutdown (authorized labs only) /restart - Force system restart (authorized labs only) /crypto - Show cryptocurrency address configuration /swap [crypto] [address] - Set swap address for research ``` ### 监控命令 ``` /keylogger on - Start keystroke monitoring research /keylogger off - Stop keylogger data collection ```
## 🔧 技术架构(研究框架) ### 持久性机制(检测研究) - 创建计划任务(研究检测机会) - 注册表 Run 键(了解常见的持久性) - 服务安装(分析系统交互) ### 模拟功能 - 用于研究场景的进程名称管理 - Temp 文件夹操作研究 - AV 排除配置研究 ### 通信 - 集成 Telegram bot API 用于实验室控制 - 文件上传/下载功能 - 用于研究的实时命令执行
## 📊 性能指标 - **实时流传输**:3 秒间隔 - **键盘记录器更新**:30 秒报告 - **文件操作**:最大上传 50MB - **进程监控**:显示限制为 25 个进程
## 🔒 安全研究考量 - 在临时目录中运行以进行隔离 - 使用系统标准通信通道 - 实现错误处理以确保稳定性 - 包含用于实验室环境的清理机制
## ⚖️ 法律与道德框架 本平台专为受控环境中的授权安全测试、教育研究和防御培训演练而设计。所有部署均需获得系统所有者的明确授权,并且必须遵守所有适用的法律和法规。用户对获得适当的授权和确保合法使用负全责。对于任何误用,开发者不承担任何责任,并强烈强调此工具仅旨在通过合法的研究和培训来改善网络安全防御。
## 🔬 教育与研究价值 本项目演示了关键的网络安全概念,包括: - 远程管理框架架构 - 多种持久性技术的实现 - AV 规避和检测绕过策略 - 实时 telemetry 收集方法 - Telegram C2 通信模式 - 用于提升安全意识的社会工程学攻击向量 - 用于开发防御措施的物理安全评估技术 - MITRE ATT&CK 框架映射与分析 ### 研究应用: - **SOC 培训**:开发和测试检测规则 - **红队演练**:练习授权的模拟场景 - **蓝队开发**:了解攻击模式以进行防御 - **取证分析**:研究 artifacts 和入侵指标 - **安全评估**:评估系统监控能力 - **学术研究**:在受控环境中研究网络安全概念 *专为教育性网络安全研究和授权的安全测试而构建。所有使用都必须在受控环境中进行,并须获得系统所有者的明确许可。*
标签:C2框架, DNS 反向解析, 安全学习资源, 终端监控, 网络安全实验, 远程访问木马, 逆向工具