Palcheen02/Stealth-Telegram-C2-Framework-with-Audio-Surveillance-for-Firewall-Evasion

# 🕵️‍♂️ 隐蔽 Telegram C2 框架：基于 API 的数据窃取     一个模块化的、基于 Python 的命令与控制 (C2) 框架，利用 Telegram Bot API 进行隐蔽的远程管理和数据窃取。 **业务使用场景：** 本项目是作为一项云原生网络安全研究计划而开发的。它展示了一个关键的架构盲点：现代高级持续性威胁 (APT) 如何通过滥用受信任的云基础设施 (HTTPS/端口 443) 来绕过传统的边界防火墙。最终目标是为蓝军团队提供必要的行为数据，以便针对基于 API 的内部威胁调整云端终端检测与响应 (EDR) 系统。 ## ⚠️ 学术免责声明 **本项目仅用于学术、教育和防御性研究目的。** 其开发旨在分析规避技术并改进防御对策（例如 EDR 调整和深度包检测）。未经明确的授权许可，请勿将此软件部署到任何系统、终端或网络。作者不对因使用此软件而导致的任何滥用、损坏或非法活动负责。 ## 📑 目录 1. [核心功能](#-core-features) 2. [C2 架构](#-c2-architecture) 3. [前置条件与安装](#-prerequisites--installation) 4. [部署配置](#-deployment-configuration) 5. [操作使用](#-operational-usage) 6. [蓝军对抗措施](#-blue-team-countermeasures) 7. [技术栈](#-technology-stack) ## ✨ 核心功能 * **加密数据窃取：** 利用 Telegram 的原生基础设施。所有 C2 流量都经过 TLS 加密，并与发往 `api.telegram.org` 的合法 Web 流量无缝混合。 * **异步执行：** 采用 Python 多线程，确保后台任务（如音频监控）不会阻塞 payload 的主轮询循环。 * **硬件接口：** 通过 PortAudio 直接与目标声卡集成，进行原始二进制音频捕获。 * **原生视觉监控：** 能够静默捕获高分辨率的屏幕缓冲区。 * **严格的反取证：** 遵循“靠山吃山”（Living off the Land）原则。数据缓存在 RAM 中，仅在传输的精确毫秒写入磁盘，并立即使用自动化的 `os.remove()` 例程进行清理。 ## 🏗️ C2 架构 与打开高度可疑出站端口的传统反向 Shell 不同，该框架在连续的**轮询**机制上运行。 1. **控制器：** 攻击者通过任何设备上的私人 Telegram Bot 聊天界面发出命令。 2. **Agent：** Python payload 位于目标终端上，通过标准 HTTPS 轮询 Telegram API。当接收到命令时，它会在本地执行相应的模块。 3. **数据传输：** 捕获的遥测数据（音频、图像、系统信息）通过 POST 请求发回 Telegram API，并在攻击者的聊天界面中原生呈现，在目标磁盘上不留下任何永久性痕迹。 ## ⚙️ 前置条件与安装 ### 1. 系统要求 * Python 3.8 或更高版本。 * 对于 Linux/Kali 环境，需要安装 PortAudio 开发头文件以桥接麦克风硬件。 ``` # Ubuntu/Debian/Kali Linux 设置 sudo apt update sudo apt install portaudio19-dev python3-all-dev ```

标签：APT攻击模拟, C2框架, HTTPS隐蔽, IP 地址批量处理, Python, Telegram Bot, TLS加密, 二进制分析平台, 命令与控制, 威胁情报, 安全学习资源, 开发者工具, 数据渗出, 无后门, 流量伪装, 端点检测与响应(EDR), 蓝队演练, 远控木马, 逆向工具, 隐蔽通信