NS-Projects-Unina/Command_Control_Silver

# GhostHunting 分析在由防火墙和 IDS (Suricata) 监控的网络中 C2 框架 (Sliver) 的行为，并在 Docker 上模拟整个环境。 ## 📋 目录 - [描述](#-description) - [架构与实验工具](#-architettura) - [分析](#-analysis) - [结论](#-conclusions) - [作者](#-authors) ## 📖 描述 本项目的主要目标是分析现代 *Command and Control* (C2) 框架的网络行为，并评估 *Network Intrusion Detection System* (NIDS) 检测其通信的能力。该研究特别关注 **Post-Exploitation** 阶段，即攻击者在获得目标系统初始访问权限后执行的一系列活动。与通常持续时间较短的初始访问阶段不同，C2 通信通常会长期持续，这使其成为基于网络的检测策略的重要目标。 ## 🏗 架构与实验工具 实验室环境旨在模拟真实的后渗透场景，并通过 Docker Compose 编排的容器化架构实现。 - **目标网络：** 托管一个充当受害者的 Ubuntu 容器，位于模拟的企业防火墙和网关路由器之后。 - **攻击者网络：** 托管一个运行 C2 框架的 Kali Linux 容器。 - **Sliver：** 本工作中分析的核心 C2 框架，这是一个开源工具，旨在提供隐蔽管理远程系统的高级功能。 - **Suricata：** 部署在目标路由器上的开源 NIDS，用于捕获网络流量并测试自定义检测规则。 - **Wireshark：** 用于深入检查由 C2 通信生成的捕获网络流量。  ## 🔎 分析 本项目通过四个复杂性递增的场景探讨了网络威胁的演变： ### 等级 0：Script Kiddie (Metasploit raw TCP) - 基于 Metasploit 框架的入门场景。 - 流量分析显示，攻击者发送包含 Linux 可执行文件 (ELF Binary) 的未加密 payload。 - NIDS 可以利用匹配魔数 的静态特征轻松检测到此通信。 ### 等级 1：PlainText Paradise (Sliver HTTP) - 使用 Sliver 通过 HTTP 实现结构化的 C2 通道。 - Sliver 利用预定义的英语单词字典在 HTTP 请求中混淆命令数据。 - NIDS 检测依赖于识别特定的字典单词和跟踪行为异常，例如与恶意软件的 beaconing 机制相关的频繁“HTTP 204 No Content”响应。 ### 等级 2：The Ghost (Sliver mTLS) - 向更隐蔽的通信方式演变，通过 HTTPS (端口 443) 使用 Mutual TLS (mTLS)。 - 由于加密完全屏蔽了 IDS 对 payload 内容的查看，基于字典的规则变得无效。 - 检测转向网络元数据，实施关联规则，将在 TLS 握手期间提取的客户端 JA3 指纹与服务器 JA3S 指纹进行交叉比对。 ### 等级 3：Final Boss (Sliver DNS Tunneling) - 利用普遍允许的 Domain Name System (DNS) 协议，将恶意 C2 流量封装在标准 DNS 查询和响应中。 - 命令输入和输出经过 Base32 编码，并隐藏在极长的子域名以及 TXT 或 CNAME 记录中。 - 防御这种级别的混淆需要向行为和统计异常检测（例如：查询量激增、高语言熵和不寻常的记录类型比率）进行范式转变，而不是依赖静态特征。 ## 📌 结论 - **传统防火墙的局限性：** 仅依赖边界防御和端口限制（如仅允许端口 80、443 和 53）是不够的，因为现代 C2 框架可以毫不费力地将恶意流量封装在受信任的协议中。 - **“深度防御” 的必要性：** 随着加密屏蔽了传统的深度包检测 (DPI)，组织必须关联多个网络元数据指标（如 JA3/JA3S）以保持高检测保真度并最大限度地减少误报。 - **向行为分析的转变：** 缓解 DNS tunneling 等高隐蔽性威胁需要将重点从 payload 检查转移到对统计异常和不规则网络模式的持续监控。 ## 👥 作者 * **Annarita Fabiano** (M63001789) * **Giuseppe Maglione** (M63001777)

标签：AMSI绕过, Beacon Object File, C2分析, Command and Control, Docker, Google搜索, IP 地址批量处理, Metaprompt, Sliver, Suricata, Wireshark, 入侵检测系统, 句柄查看, 威胁检测, 安全实验环境, 安全数据湖, 安全防御评估, 数据展示, 现代安全运营, 红队, 网络安全, 网络行为分析, 请求拦截, 隐私保护