diemoeve/oxide-stealer

# oxide-stealer 独立工具，用于从 oxide 安全研究框架中提取凭据。 **仅限实验室使用。仅在隔离的虚拟机中针对测试凭据进行测试。请参阅 `DISCLAIMER.md`。** ## 提取内容 | 来源 | 数据 | |------|------| | Chromium 系列（Chrome、Brave、Edge） | 登录凭据、Cookie | | Firefox | 登录凭据、Cookie | | SSH 私钥 | 枚举 `~/.ssh/id_*` | ## 构建 ``` cargo build --release ``` ## 用法 ``` ./target/release/oxide-stealer # JSON to stdout ./target/release/oxide-stealer --zip /tmp/results.zip ./target/release/oxide-stealer --no-ssh # skip SSH enumeration ``` ## 与 oxide 集成 将二进制文件通过 `/api/staging/upload` 上传到 oxide 面板（无需 stage_number）。 点击面板中的 **Steal**。植入体将下载、验证 SHA-256 并以子进程方式执行窃取器。 ## 检测 ``` detection/ ├── yara/ oxide_stealer.yar ├── sigma/ chromium_cred_access_linux.yml, firefox_cred_access_linux.yml, │ chromium_cred_access_windows.yml, firefox_cred_access_windows.yml, │ exfil_staging_zip.yml ├── logging/ auditd-cred.rules, sysmon-credential-access.xml └── ir/ PLAYBOOK.md, INDICATORS.md ``` ATT&CK: T1555.003、T1552.004。 ## 相关项目 - [oxide](https://github.com/diemoeve/oxide) - 植入体 + C2 面板 - [oxide-loader](https://github.com/diemoeve/oxide-loader) - 三阶段交付链 - [oxide-infra](https://github.com/diemoeve/oxide-infra) - 实验室基础设施（Terraform + Ansible）

标签：API安全, ATT&CK T1552, ATT&CK T1555, Auditd, C2面板, cargo构建, Chrome, Chromium, DNS信息、DNS暴力破解, Exfiltration, Firefox, IR演练本, JSON输出, oxide框架, Playbook, SamuraiWTF, Sigma规则, SSH密钥, Sysmon, YARA规则, ZIP打包, 下载执行验证, 免编译运行, 内存分配, 凭据窃取, 发布二进制, 可视化界面, 安全隔离, 实验室使用, 审计规则, 密码提取, 密钥枚举, 数据展示, 日志检测, 检测规则, 植入物, 横向移动, 目标导入, 红队, 编程规范, 网络资产发现, 通知系统