256AndreiAES/Aether-C2-Framework

# C2 架构研究 (Rust/Python) 本仓库是探索自定义 C2 TTPs 的实验场，主要关注 Rust implants 如何通过避免使用高级抽象来绕过常见的 EDR 遥测技术。 这目前是一个正在进行中的研究项目。主要目标是看看我可以通过构建一个“原生”传输栈在多大程度上减少取证痕迹。 **注意：** 我选择了自定义 WinHTTP 实现和 ECDH+AES 握手。这绝对不是一个成品，更多的是关于测试协议的隐蔽性，而不是堆砌功能。 ## 运行逻辑与战术技巧 ### Agent (Rust) 构建轻量级，并避免标准 Rust networking crates 那种典型的“噪杂”特征。 * **传输与 OPSEC：** 通过 `windows-rs` 直接调用 `WinHTTP.dll`。我跳过了 `reqwest` 或 `hyper`，因为我想控制 IAT (Import Address Table) 并避免不必要的库挂钩。 * **密钥交换：** 每会话 **ECDH (NIST P-256)**。我使用 HKDF-SHA256 进行会话密钥派生。 * **Payload 加密：** **AES-256-GCM**。每个任务/响应在传输过程中都经过加密。 * **规避 (基础)：** * 编译时字符串混淆 (`obfstr`) 以干扰静态分析。 * 随机抖动 以打破信标模式 (这样在线路上看起来就不像心跳包)。 * *仍在研究更高级的内存扫描绕过技术；目前来说，这还相当基础。* ### C2 Listener (Python) 一个简单的 async listener。目前它主要只是一个“哑”管道，用于验证协议。 * 管理 ECDH 交换并维护每个 agent 的密钥材料。 * **状态：** 尚无数据库持久化或花哨的 UI。我只是用它来接收信标并验证加密逻辑在负载下不会出错。 * *以后可能会重写其中一部分以处理更多并发会话。* ## 项目结构 * `/Implant` — Rust agent（研究的核心）。 * `/Server` — Python 控制器/listener。 * `/Assets` — 一些截图。 ## 当前限制 * 处于公共安全考虑，`injector.rs` 中的线程注入逻辑已被涂黑。 * 尚无自动化持久化模块。 * TLS 证书固定 (certificate pinning) 已在路线图上，但尚未实现。 **免责声明：** 本项目仅供教育用途和实验室环境使用。不要做一个只会用工具的脚本小子。

标签：AES-256, C2框架, DNS 反向解析, ECDH, EDR绕过, IP 地址批量处理, OPSEC, Python, Raspberry Pi, Rust, TGT, WinHTTP, 中高交互蜜罐, 信标, 内存执行, 加密通信, 可视化界面, 命令与控制, 安全学习资源, 异步IO, 恶意软件开发, 攻防演练, 数据展示, 无后门, 流量加密, 流量隐藏, 漏洞评估, 红队, 网络安全, 网络流量审计, 逆向工具, 通知系统, 隐匿技术, 隐私保护, 高交互蜜罐