machphy/C2-Infrastructure-Security

# C2 基础设施安全 – 检测与防御框架 ## 概述 命令与控制（C2）基础设施是现代网络攻击的关键组成部分，使攻击者能够远程控制受损主机、维持持久性并窃取数据。由于广泛的加密和对合法协议的滥用，C2 流量通常会绕过传统的基于签名的防御措施。 本项目提出了一个**防御性的、以蓝队为中心的框架**，利用网络流量分析、基于时间的启发式规则、威胁情报指标和 SIEM 风格的关联规则，来**分析、检测和情境化 C2 信标行为**。 这项工作遵循**工程驱动的网络安全方法**，强调基于行为的检测，而非恶意载荷执行。 ## 目标 - 理解 C2 基础设施的运行特征 - 利用网络元数据和时序分析识别信标行为 - 开发基于 Python 的检测引擎以发现周期性对外连接 - 设计 IOC 存储库和 SIEM 关联逻辑 - 将检测映射到 MITRE ATT&CK 命令与控制技术 - 生成适用于 SOC 和威胁狩猎团队的可复用检测蓝图 ## 项目范围 - 仅用于防御和研究目的 - 不涉及现实世界的漏洞利用或恶意软件部署 - 侧重于网络可见性、检测工程和 SOC 工作流 - 适用于 SOC 分析师、威胁猎人和蓝队面试 ## 仓库结构 ``` C2-Infrastructure-Security/ ├── detection-rules/ │ ├── generic-siem-rules.yml │ ├── qradar-correlation-rules.txt │ └── dns-anomaly-detections.txt ├── IOC/ │ ├── suspicious-ip-list.txt │ └── malicious-domains.txt ├── lab-setup/ ├── reports/ ├── sample-pcaps/ │ ├── flows.csv │ ├── c2_stage3.pcap │ └── c2_beacon.exe ├── tools/ │ └── beacon_detector.py └── requirements.txt ``` ## 方法论 ### 1. C2 行为建模 C2 通信基于常见的攻击者技术进行建模： - 周期性对外连接 - 一致的目标 IP 和端口 - 加密的应用层协议（类 HTTPS） - 具有低时间偏差的规律性信标间隔 ### 2. 合成流量生成 不执行真实的恶意软件，而是生成受控的合成流数据来模拟真实的 C2 信标行为。这确保了合规性，同时保持了检测的真实感。 ### 3. 信标检测引擎 基于 Python 的检测工具（`beacon_detector.py`）分析流级别日志以： - 按源 IP、目标 IP 和端口对流量进行分组 - 计算到达时间间隔 - 识别时序模式中的低标准差 - 标记自动化的信标流 示例检测输出： ``` src_ip dst_ip dst_port avg_interval stddev count 10.0.0.5 52.23.45.67 8443 15.00 0.00 8 ``` 即使流量载荷被加密，这种方法仍然有效。 ### 4. 检测工程与 SIEM 逻辑 检测逻辑被转化为： - 供应商无关的 SIEM 规则 - QRadar 风格的关联规则 - 基于 DNS 的异常检测策略 - IOC 驱动的告警丰富 ### 5. MITRE ATT&CK 映射 所有检测均映射到攻击者的战术和技术： - TA0011 – Command and Control（命令与控制） - T1071 – Application Layer Protocol（应用层协议） - T1573 – Encrypted Channel（加密通道） 这将告警置于行业标准的威胁框架背景下。 ## 检测架构 检测框架遵循分层、深度防御的架构，旨在将多个弱信号关联为高置信度的 C2 告警。 检测层包括： - 基于时序的信标检测 - 自适应单主机基线分析 - DNS 熵和异常分析 - TLS 握手指纹分析 - IOC 丰富与关联 - 基于风险的告警优先级排序 这种方法反映了现实世界的 SOC 检测流程，即融合行为信号以减少误报并提高分析师的效率。 ### 自适应基线分析 为了减少误报，该框架纳入了自适应单主机基线分析。并非全局应用静态阈值，而是学习每个源主机的正常连接行为，并将其与观察到的流量进行比较。 这允许检测偏离主机基线的信标行为，同时容忍自然嘈杂或预定的流量。 ## 加密流量可见性 该框架不尝试解密加密流量。 相反，它依赖于元数据和行为特征，例如： - 连接时序和规律性 - 目标一致性 - DNS 查询结构 - TLS 握手特征 这确保了即使在无法进行载荷检查时，检测仍然有效，符合现代零信任和隐私保护的安全模型。 ## 检测评估 检测效果通过以下方式进行了定性评估： - 在受控数据集中验证已知的 C2 信标模式 - 观察恶意流量中的时序规律性和低方差 - 审查合法计划服务产生的误报 虽然没有使用真值标记，但评估表明，当结合上下文分析时，行为检测可提供可靠的 C2 活动指标。 ## SOC 工作流集成 该框架生成的检测旨在集成到标准 SOC 工作流中，包括： - 通过 SIEM 关联规则生成告警 - 分类期间的 IOC 丰富 - 利用网络遥测数据进行威胁狩猎追踪 - 事件响应行动，如主机隔离或 IP 封锁 这使该框架定位为实用的 SOC 检测蓝图，而不仅仅是学术练习。 ## 工具与技术 - Python (pandas, numpy) - 网络流量分析 - SIEM 关联概念 - MITRE ATT&CK 框架 - 威胁情报（IOC 生命周期） ## 关键结论 - 无需载荷检查即可检测加密的 C2 流量 - 时序和行为分析可有效抵御混淆 - SOC 检测应结合行为、IOC 和关联逻辑 - 检测工程比静态签名匹配更有效 ## 伦理考量 本项目避免在生产或个人系统上执行真实的恶意软件。所有模拟都是受控的、非恶意的，且仅专为防御性研究和学习目的而设计。 ## 用例 - SOC 分析师工作流演示 - 威胁狩猎方法论 ## 未来增强 - JA3/TLS 指纹识别集成 - 扩展的 DNS 分析 - 多 C2 框架行为比较 - 与 SIEM 平台集成 - 自动化告警评分和优先级排序 ## 免责声明 本项目仅供教育和防御性网络安全研究之用。描述的技术不得用于未经授权或恶意的活动。

标签：Cloudflare, DNS异常检测, IP 地址批量处理, MITRE ATT&CK, Python, Qradar, SIEM规则, 信标检测, 命令与控制, 威胁情报, 子域枚举, 安全运营, 开发者工具, 恶意流量分析, 扫描框架, 无后门, 网络信息收集, 网络安全, 网络流量分析, 逆向工具, 隐私保护