ACD421/The_Mimic

# The Mimic **自主行为植入框架** **Windows + Android + iOS | 78 个源文件 | 3.2 MB** ## 披露时间线 | 日期 | 事件 | |------|-------| | 2026-04-06 | 框架构建并测试完成 | | 2026-04-06 | APK 安装到测试设备（三星 Galaxy，Android 16，原生 ROM） | | 2026-04-15 | 确认 9 天未被检测到。提交 Google Issue Tracker #502802174 | | 2026-04-15 | 向 Google VRP 提交检测缺陷报告及 APK 样本 | | 2026-04-XX | Google 回复：“按预期工作” | | 2026-04-XX | 提交上诉 | | 2026-04-XX | 上诉被拒绝 | | 2026-04-19 | 公开发布 | **“按预期工作”的含义：** Google 的立场是，Play Protect 是一种尽力而为的启发式检测层，而非安全边界。一个 33KB 的 APK，若具备无障碍服务“上帝模式”、键盘记录、静默摄像头/麦克风、TOTP 拦截、凭证窃取以及加密 C2，且在一台原生设备上未被检测到超过一周，按照 Google 的说法，这是其安全产品的预期行为。 ## 什么是 The Mimic 一个植入框架，它会学习目标设备上“正常”的行为表现，然后仅在符合该行为边界的范围内操作。植入体执行的每一个动作在统计上都与合法用户的行为无法区分。 该框架包含一个自主决策引擎（“大脑”），用于分析目标、分类设备角色、选择任务并在无需操作员干预的情况下执行。操作员的角色从直接指挥植入体转变为审查其结果。 ### 核心主张 EDR 和移动端安全产品检测异常行为。如果植入体不产生任何异常，就没有任何可检测的内容。The Mimic 在三个平台上证明了这一主张。 ## 平台覆盖范围 ### Windows（8 个 Python 模块 + 8 个 C++ 原生模块） 行为学习、进程寄生（驻留在用户前台应用内）、流量整形型 DoH C2、NTFS ADS 加密存储、自主目标定位、凭证收割、文档智能、横向移动。 **C++ 原生模块：** 间接系统调用（跳转到 ntdll 小工具）、BYOVD EDR 杀（wsftprm.sys）、Ekko 睡眠混淆、DKOM 内核回调移除、模块踩踏、无补丁 AMSI 绕过、ETW 盲化、堆栈欺骗。 ### Android（3 个 Python + 6 个 Java + 完整 APK 源码） 无障碍服务“上帝模式”：键盘记录、全屏读取、权限自动授予、TOTP/2FA 拦截、消息提取（WhatsApp/Signal/Telegram/Discord）、静默摄像头、静默麦克风、GPS 地理围栏、卸载拦截。四层持久化（引导接收器 + FCM + WorkManager + 闹钟）。通过替换系统库实现 Root 持久化。基于 FCM 的 C2 通信，依赖 Google 基础设施。 ### iOS（JS 植入体 + Obj-C 桥接 + 持久化模块） 三种植入变体（GHOSTBLADE/GHOSTSABER/GHOSTKNIFE）。60+ 数据类别。类似 DarkSword 的纯 JS 架构，避免 SPTM 和代码签名。通过原生桥接实现文件 I/O、SQLite 和 Keychain 导出。三级持久化：重新利用漏洞、LaunchDaemon、BCM4387 固件（即使恢复出厂设置仍可存活）。 ## 交付向量 | 向量 | 目标 | CVE | 类型 | |------|------|-----|------| | iMessage DNG | iOS 18.0-18.6.1 | CVE-2025-43300 | 零点击 | | Dolby RCS 音频 | Android | CVE-2025-54957 | 零点击 | | Samsung DNG | 三星 Galaxy | CVE-2025-21042 | 单击 | | DarkSword 水坑攻击 | iOS 18.4-18.7.2 | 6 个 CVE | 单击 | | Aladdin 恶意广告 | 两者 | 无法修复 | 零点击 | 完整的漏洞利用链源码包含在 `delivery/` 中。DarkSword 链条为 38,618 行代码，涵盖 RCE、沙箱逃逸、PAC 绕过以及针对 iOS 18.4 至 18.7.2 的后渗透操作。 ## 快速开始 ``` # Start C2 server pip install flask python infrastructure/mimic_unified_server.py --port 8443 # Launch operator console python infrastructure/mimic_unified_operator.py --server https://localhost:8443 # Windows implant (demo mode) python windows/mimic_orchestrator.py --demo --domain your-c2.com ``` ## 仓库结构 ``` The_Mimic/ windows/ 8 Python modules (profiler, brain, parasite, C2, ghost, orchestrator, lateral, dropper) cpp/ 8 C++ modules (native implant with indirect syscalls, BYOVD, Ekko, DKOM) android/ 3 Python + 6 Java + APK build scripts + manifests ios/ JS implant (3 variants) + Obj-C native bridge + persistence mobile_core/ 5 shared mobile modules (brain, C2, GPS, harvest, core) delivery/ 5 CVE exploit crafters + DarkSword chain (38K lines) + Scudo toolkit infrastructure/ Unified C2 server + operator console docs/ User manual (21 sections) WHITEPAPER.md Full research paper ``` ## EDR 规避模型 The Mimic 通过消除检测所依赖的信号来击败行为检测： - **时间维度：** 仅在用户已知的活跃时段内操作 - **进程：** 驻留在用户前台应用内（无独立进程） - **网络：** DoH 信标模拟用户连接基线 - **存储：** NTFS ADS 结合机器绑定的加密（资源管理器中不可见） - **内核：** 来自 ntdll 地址空间的间接系统调用 + DKOM 回调移除 - **休眠：** 空闲时对 .text 段进行 RC4 加密（抵御内存扫描） - **移动端：** 无障碍服务（合法系统组件） + FCM C2（Google 基础设施） ## 检测建议 如果你是一名防御者，白皮书（[WHITEPAPER.md](WHITEPAPER.md)）包含完整的检测策略章节。关键方法包括： 1. 在感染前建立行为基线，而非感染后 2. 监控系统文件上的 NTFS ADS 创建行为 3. 扫描用户空间进程中是否存在无后备模块的注入 RWX 区域 4. 将 DoH 流量通过企业解析器，并应用 DNS 熵分析 5. 对非浏览器进程访问凭证存储的行为告警 6. 关联多个数据源（单一来源无法揭示 The Mimic） 7. 监控无障碍服务授权并审计绑定服务 8. 标记与合法应用行为不一致的 FCM 消息模式 ## 仅限教育用途 本软件仅发布用于教育和防御性研究。请参见 [LICENSE](LICENSE) 了解条款。未经明确书面授权，不得对任何系统部署该软件。 此处记录的 techniques 并非独创。进程注入、流量整形、ADS 存储、无障碍滥用和零点击漏洞均存在于已披露的进攻性工具和学术文献中。其贡献在于将这些技术整合为一个连贯的跨平台规避模型，并通过实证证明主流移动端安全产品无法检测到其结果。 *2026 — 独立安全研究* *Google Issue Tracker #502802174*

标签：Accessibility Service, Android 植入, APT, C++, CVE监控, DNS over HTTPS, EDR 绕过, Google VRP, HTTP/HTTPS抓包, iOS 植入, JS文件枚举, NTFS ADS 存储, Play Protect 绕过, Python, Shell模拟, TOTP 拦截, 信息窃取, 决策引擎, 凭据窃取, 加密C2, 取证对抗, 后门框架, 存活 9 天, 平台覆盖 Windows Android iOS, 态势感知, 摄像头麦克风劫持, 教育用途, 数据可视化, 数据擦除, 无后门, 框架学习, 流量整形, 漏洞披露, 目录枚举, 移动安全, 自主行为植入框架, 自定义脚本, 行为模拟, 进程寄生, 逆向工具, 键盘记录, 隐蔽植入, 零检测