SushantOgale/Malware-Worm-Ransomware-C2-Simulation

# VIRODIP 多阶段恶意软件与 C2 模拟 **VIRODIP** 是一个教育性的网络安全沙箱，旨在演示现代恶意软件威胁的生命周期。该平台提供了一种可视化的交互方式，帮助用户理解**蠕虫**、**勒索软件**和**命令与控制 (C2)** 架构在 Windows 环境中的运行机制。 ## 为什么这个项目很重要（影响与价值） 该项目是连接理论网络安全概念与实际应用的“桥梁”。以下是它提供的价值： * **行为分析：** 允许研究人员观察恶意软件的精确“足迹”，例如批量文件重命名（勒索软件）和字符串追加（蠕虫感染）。 * **Kill Chain 掌握：** 直接映射到 **Lockheed Martin Cyber Kill Chain**，证明对 Installation、C2 和 Actions on Objectives 阶段的理解。 * **安全执行环境：** 通过使用沙箱化的 `lab_files/` 目录，在不损坏主机系统的情况下演示高风险行为。 * **安全工程：** 展示了一个全栈架构，其中 REST API (Flask) 作为被入侵主机与远程操作者之间的桥梁。 ## 技术特性 ### 1. 动态受害者环境 操作者可以完全控制目标的数据密度。在发起攻击序列之前，使用仪表板生成特定数量的受害者文件。 ### 2. 攻击序列 * **蠕虫/病毒模拟：** 与简单的脚本不同，此蠕虫执行**复制**（创建新的 payload）和**感染**（将恶意代码附加到现有文件中）。 * **勒索软件逻辑：** 一种针对可用性攻击的行为模拟，使用 `.locked` 扩展名批量锁定文件以模拟加密。 ### 3. 高权限 C2 控制台（无折衷） 专业的 **远程访问木马 (RAT)** 体验： * **静默执行：** 当攻击者浏览系统时，受害者机器保持安静。 * **交互式 Shell：** 执行 `ls` 进行浏览，执行 `sys` 检查主机 metadata，执行 `read` 将特定文件内容窃取回 Web 控制台。 ## 开始使用 ### 前置条件 * Python 3.10+ * Flask & Flask-CORS (`pip install flask flask-cors`) ### 设置 1. **克隆仓库：** git clone https://github.com/SushantOgale/Malware-assignment.git cd Malware-assignment 2. **启动受害者服务：** python LAB.py 3. **启动攻击者控制台：** 在任何现代 Web 浏览器中打开 `index.html`。 # 防御缓解措施 基于在此模拟中观察到的行为，建议采取以下防御措施： * EDR 模式匹配：检测快速文件重命名序列（勒索软件）。 * 出站过滤：监控并阻止发往未知外部 IP 的未经授权的“Heartbeat”流量 (C2)。 * 文件完整性监控 (FIM)：** 对标准文本文件头/尾部的未授权修改发出警报。 # 法律免责声明 仅供教育目的。本项目不包含实际的恶意 payload。它使用无害的文件系统操作在受限目录中模拟恶意软件行为。作者不对本软件的任何滥用行为负责。

标签：C2服务器, Conpot, DAST, Flask, IP 地址批量处理, PE 加载器, RAT, REST API, Windows安全, 仿真平台, 动态环境, 勒索软件, 多模态安全, 安全工程, 安全教育, 安全演示, 恶意软件分析, 攻击模拟, 数据可视化, 文件加密, 杀伤链, 沙箱环境, 网络信息收集, 网络安全, 网络安全审计, 网络靶场, 蠕虫病毒, 远控木马, 逆向工具, 隐私保护, 驱动签名利用