Mytk0/ErebosC2

# Erebos C2 一个作为个人研究项目从零构建的简单 C2 框架，旨在探索 implant 开发、规避技术和 C2 架构。 ## 架构 - **Beacon** - 使用 WinINet 进行 HTTPS 通信的 C 语言 implant - **Server** - 具有交互式命令调度的 Go HTTP/S 监听器 ## 功能 - HTTPS 加密通信 (TLS) - XOR 加密字符串 (IP、端点、user-agent) - Jitter sleep 以混淆 beacon 定时 - 每个 implant 具有唯一的 agent ID - 命令执行与输出窃取 ## 规避技术 - **ETW patching** - `EtwEventWrite` 被 `0xC3` 覆盖以屏蔽事件跟踪 - **ntdll unhooking** - 从磁盘恢复干净的 `.text` 节区以移除 EDR hooks - **AMSI bypass** - `AmsiScanBuffer` 被修补为返回 `E_INVALIDARG` - **String encryption** - 敏感字符串在静态下使用 XOR 加密，仅在运行时解密 - **Silent execution** - 不产生控制台窗口 ## 路线图 - [ ] Reflective DLL injection - [ ] PPID spoofing 用于子进程生成 - [ ] Sleep obfuscation (Ekko) - [ ] Staged payload 投递 - [ ] 用于操作员界面的 Qt GUI ## 免责声明 Erebos C2 仅用于授权渗透测试、红队行动和教育研究。未经明确书面许可对系统使用此工具是非法的。作者不对滥用行为承担任何责任。 ## 使用 ### 服务端 首先生成一个自签名证书： ``` openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes ``` 然后运行服务端： ``` go run server.go ``` ### Beacon 使用 MinGW 编译： ``` gcc beacon.c -o beacon.exe -lwininet -mwindows "-Wl,--entry=mainCRTStartup" ``` ## 许可证 MIT

标签：AMSI Bypass, C2 框架, C 语言, DNS 反向解析, ETW Patching, Gophish, Go 语言, HTTPS 通信, Implant 开发, IP 地址批量处理, Ntdll Unhooking, WinINet, 中高交互蜜罐, 内存修补, 反 EDR, 命令与控制, 客户端加密, 底层编程, 恶意软件开发, 数据加密, 日志审计, 规避技术, 远控