Ruby570bocadito/HiveMind
GitHub: Ruby570bocadito/HiveMind
HiveMind是一款基于Rust的轻量级后渗透框架,提供模块化、跨平台和端到端加密功能。
Stars: 0 | Forks: 0
## 📡 架构 ``` flowchart TB subgraph Operator["🕹️ Operator"] BEEKEEPER["Beekeeper TUI
(ratatui + Lua scripting)"] CLI["hive.sh brain | colony"] end subgraph C2["☁️ C2 Server (c2-server)"] HTTP["HTTP/HTTPS Listener (Axum)"] WS["WebSocket Beacon Channel"] DB[(SQLite)] DASH["Dashboard (Flask)"] end subgraph Colony["🐝 Colony Agents"] direction TB QUEEN["◇ Queen
Overmind + LLM Bridge"] WORKER["◈ Worker
Recon + EDR Detection"] DRONE["◆ Drone
Decisions + Lateral"] HONEYBEE["◉ Honeybee
Encrypt + Exfiltrate"] WEAVER["✦ Weaver
Polymorphic Obfuscation"] SWARM["⬡ Swarm
Autonomous Spread"] end subgraph Arena["🧬 Shared Memory Arena"] IPC["Lock-Free Ring Buffer
(memfd_create + mmap)"] LDC["LdC Protocol
(Ed25519 signed messages)"] end subgraph LLM["🤖 LLM Oracle"] OLLAMA["Ollama (optional)"] end Operator -->|"HTTP/TLS"| C2 C2 -->|"Beacon Channel"| QUEEN QUEEN -->|"LdC"| Arena WORKER -->|"LdC"| Arena DRONE -->|"LdC"| Arena HONEYBEE -->|"LdC"| Arena WEAVER -->|"LdC"| Arena SWARM -->|"LdC"| Arena QUEEN -.->|"Strategic Decisions"| OLLAMA WORKER -.->|"SSH Propagation"| DRONE style Operator fill:#1a1a2e,stroke:#6C63FF,stroke-width:2px,color:#fff style C2 fill:#16213e,stroke:#6C63FF,stroke-width:2px,color:#fff style Colony fill:#0f3460,stroke:#6C63FF,stroke-width:2px,color:#fff style Arena fill:#1a1a2e,stroke:#e94560,stroke-width:2px,color:#fff style LLM fill:#16213e,stroke:#e94560,stroke-width:2px,color:#fff ``` ## 🐝 代理参考 | 代理 | 图标 | 角色 | 功能 | |-------|------|------|-------------| | **蜂后** | ◇ | **总指挥** — Estrategia LLM + C2 bridge | Ollama LLM 集成,HiveMind 共识协议,C2 bridge (HTTP/DNS/ICMP/Dead Drop),先知预测建模,故障转移 | | **工蜂** | ◈ | **侦察兵** — Reconocimiento + EDR 检测 | 系统分析 (OS, 架构, 主机名, 用户), 30+ EDR 签名 (CrowdStrike, Defender, SentinelOne 等), 网络枚举, 机器学习分类 | | **雄蜂** | ◆ | **塑造者** — Decisiones + movimiento lateral | 基于信念的决策,nmap/ARP 扫描,SSH 横向移动,失效代理的再生,集群攻击模式 | | **蜜蜂** | ◉ | **储藏者** — Ejecución + exfiltración | AES-256-GCM 加密,3 遍安全擦除,HTTP 泄露,提权 (SUID, sudo, Docker, PwnKit), 云 pivot (AWS, GCP, Azure) | | **织工** | ✦ | **变形者** — Ofuscación polimórfica | 4 种突变技术 (XOR, NOP 插入, 段落洗牌, 垃圾代码), 多态变体生成 | | **蜂群** | ⬡ | **蠕虫** — Propagación autónoma | 通过 SSH 自动传播,MARL 目标选择,自动限制 (最大 10 跳,每分钟 2 次,1 小时寿命),自我销毁 | ### 🧬 通信:共享内存区域 所有代理都通过一个 **原子锁-free 环缓冲区在共享内存中** (`memfd_create` + `mmap`) 进行通信。**零个 TCP 端口。零个套接字。** 消息使用 **Ed25519** 签名。这允许: - **网络不可见** — 代理之间没有监控流量 - **弹性** — 如果一个代理死亡,另一个代理将通过 Weaver 进行再生 - **速度** — 纳秒级通信,无需网络序列化 ## ✨ 功能 | 功能 | 描述 | |---------|-------------| | 🧠 **多代理蜂群** | 6 个具有不同角色的专业代理,不是单体 | | 🔇 **共享内存 IPC** | 代理之间没有 TCP 端口 — 通信不可见 | | 🔒 **端到端加密** | AES-256-GCM + ChaCha20 + X25519 整个链 | | 🛡️ **10 层逃避堆栈** | 反调试,反沙盒,反虚拟机,直接系统调用,memfd,堆栈欺骗 | | 🤖 **LLM 集成** | 蜂后使用 Ollama 进行战略决策 | | 🧩 **多态引擎** | 织工以 4 种不同方式突变二进制 | | 📊 **操作员控制台** | Beekeeper TUI 与 Lua 脚本,Web 仪表板 | | 🐳 **Docker 实验室** | 完整的实验室环境,包括受害者,监控器,仪表板 | | 📈 **36 个 MITRE ATT&CK 技术** | TTPs 的完整映射 | ## 🚀 快速入门 ### 预先条件 - **Rust** 1.70+ (通过 [rustup](https://rustup.rs/) 安装) - **OpenSSL** 开发头文件 (`libssl-dev`) - **Python 3** (用于仪表板和测试) - Linux 内核 3.17+ (用于 `memfd_create`) - 可选:**Ollama** (用于蜂后 LLM),**nmap** (用于主机发现) ### 构建 ``` # 克隆 git clone https://github.com/Ruby570bocadito/HiveMind.git cd HiveMind # 构建 C2 服务器 cargo build --release -p c2-server # 构建所有代理 cargo build --release -p beekeeper -p stinger -p buzz cargo build --release -p queen -p worker -p drone -p honeybee -p weaver -p swarm # (全部同时) cargo build --release --workspace ``` ### 运行 ``` # 操作模式(安全 — 仅 C2 + 仪表板,无攻击) # 使用 hive.sh 脚本(如果存在) ./hive.sh brain # 殖民地模式(攻击性 — 攻击可到达的主机,除 safe_ips 外) ./hive.sh colony # 或手动: ./target/release/c2-server --port 8444 --db-path ./c2.db ./target/release/beekeeper ``` ### Docker 实验室 ``` # 完整实验室环境,包含模拟受害者 docker compose up --build # 多受害者 SSH 场景 docker compose -f docker-compose.lab.yml up --build ``` 这启动:`c2-server`,`queen`,`worker`,`drone`,`honeybee`,`weaver`,`swarm`,`victim`,`monitor`,`dashboard`,以及可选的 `ollama`。 **仪表板:** `http://localhost:8080` **C2 API:** `http://localhost:8443/health` ## 🛡️ 10 层逃避堆栈 | 层 | 技术 | 模块 | |-------|-----------|--------| | 1 | 共享内存 IPC (代理之间无 TCP) | `shared_arena` | | 2 | 无文件执行 (memfd_create) | `fileless` | | 3 | 直接系统调用在 ASM 中 | `syscalls` | | 4 | 调用堆栈欺骗 (合成 RBP) | `stack_spoof` | | 5 | XOR 加密的 ONNX 模型 | `crypto` | | 6 | 反调试 (ptrace, TracerPid) | `anti_analysis` | | 7 | 反沙盒 (uptime, CPU, RAM) | `anti_analysis` | | 8 | 反虚拟机 (DMI, CPUID, 模块) | `anti_analysis` | | 9 | 编译时字符串混淆 | `obfstr!()` 宏 | | 10 | 蜜蜂检测 (诱饵文件,蜜罐,canary 令牌) | `guardian` | ## 📦 项目结构 ``` HiveMind/ ├── hive_base/ # 25 módulos compartidos (crypto, arena, ipc, ld, etc.) ├── agents/ │ ├── queen/ # ◇ Overmind — LLM + C2 bridge + consensus │ ├── worker/ # ◈ Scout — recon + EDR detection │ ├── drone/ # ◆ Shaper — decisions + lateral movement │ ├── honeybee/ # ◉ Hoarder — encrypt + exfiltrate │ ├── weaver/ # ✦ Morph — polymorphic obfuscation │ └── swarm/ # ⬡ Worm — autonomous propagation ├── c2/ # C2 Server (Axum + WS + SQLite) ├── beekeeper/ # TUI Operator Console (ratatui + Lua) ├── stinger/ # Dropper / payload deployer ├── buzz/ # Integration test launcher ├── tests/ # 38 tests + monitoring tools │ ├── dashboard.py # Web dashboard (Flask) │ ├── monitor_detections.py │ ├── e2e_colony.sh │ ├── edr_gauntlet.sh │ └── validate_edr.py ├── scripts/ # Utilidades │ ├── build_payload.sh │ ├── deploy.sh │ ├── lab_setup.sh │ ├── launch_colony.sh │ ├── obfuscate_pe.py │ └── scenario.sh ├── docs/ # Documentación completa │ ├── AGENTS.md # Referencia detallada de agentes │ ├── API.md # API Reference │ ├── DEPLOYMENT.md # Guía de despliegue │ ├── DEVELOPMENT.md # Guía de desarrollo │ ├── EVASION.md # Técnicas de evasión │ ├── MITRE_MAPPING.md │ ├── OPERATOR_GUIDE.md │ ├── PLAYBOOK.md │ └── Swarm.md # Documentación del swarm ├── docker/ # Dockerfiles de laboratorio ├── deploy/charts/ # Helm charts ├── hive.toml # Configuración ├── Dockerfile # Runtime image ├── docker-compose.yml # Lab deployment ├── docker-compose.lab.yml # SSH victim lab └── setup_cross.sh # Cross-compilation setup ``` ## ⚙️ 配置 ``` # hive.toml [arena] name_prefix = "swarm_" max_messages = 2048 max_agents = 16 [c2] url = "https://your-server:8443/collect" dns_domain = "swarm.c2.local" [brain] safe_ips = ["192.168.1.100"] # Hosts que NUNCA serán atacados safe_hostnames = ["operator-pc", "c2-server"] [colony] aggressive = false # true = atacar todo reachable scan_subnets = ["192.168.1.0/24"] max_concurrent_infections = 5 [exploits] enabled = true safe_mode = true # DEFAULT: exploits inertes [anti_analysis] check_debugger = true check_sandbox = true check_vm = true [agents] edr_processes = ["csfalcon", "csagent", "msmpeng", "sentinelone"] ``` ## 📊 MITRE ATT&CK 覆盖率 (36 技术) | 战术 | 技术 | |--------|------------| | **防御规避** (10) | T1055.012, T1562.001, T1622, T1497.001, T1497.003, T1027.002, T1027.005, T1070.004, T1564.004, T1055 | | **发现** (5) | T1082, T1057, T1046, T1518.001, T1614.001 | | **凭证访问** (3) | T1552.001, T1552.004, T1552.002 | | **横向移动** (4) | T1021.004, T1570, T1021.006, T1047 | | **C2** (4) | T1573.002, T1090.004, T1572, T1571 | | **泄露** (3) | T1048.003, T1048.002, T1029 | | **执行** (2) | T1204.002, T1106 | | **持久性** (2) | T1543.002, T1547.001 | ## 🧪 测试 ``` # Rust 单元测试 cargo test --workspace # 殖民地集成测试 ./tests/e2e_colony.sh # EDR 检测堡垒 ./tests/edr_gauntlet.sh # 实时检测监控 python3 tests/monitor_detections.py --watch --interval 10 # 监控仪表板 python3 tests/dashboard.py --port 8080 # EDR 避免验证 python3 tests/validate_edr.py ``` ## 📚 文档 完整的文档位于目录 `docs/` 中: | 文档 | 描述 | |-----------|-------------| | [`AGENTS.md`](./docs/AGENTS.md) | 每个代理的详细参考 | | [`API.md`](./docs/API.md) | C2 API 参考 | | [`DEPLOYMENT.md`](./docs/DEPLOYMENT.md) | 生产部署 | | [`DEVELOPMENT.md`](./docs/DEVELOPMENT.md) | 开发者指南 | | [`EVASION.md`](./docs/EVASION.md) | 逃避技术 | | [`MITRE_MAPPING.md`](./docs/MITRE_MAPPING.md) | MITRE ATT&CK 映射 | | [`OPERATOR_GUIDE.md`](./docs/OPERATOR_GUIDE.md) | 操作员指南 | | [`PLAYBOOK.md`](./docs/PLAYBOOK.md) | 操作手册 | | [`Swarm.md`](./docs/Swarm.md) | 蜂群文档 | ## 🤝 贡献 我们欢迎来自红队社区的贡献。 1. 分叉存储库 2. 创建你的功能分支 (`git checkout -b feature/amazing-module`) 3. 提交你的更改 (`git commit -m 'Add amazing module'`) 4. 推送到分支 (`git push origin feature/amazing-module`) 5. 提交拉取请求 查看我们的 [问题](https://github.com/Ruby570bocadito/HiveMind/issues) 以获取开放任务。 ## ⚠️ 免责声明
由 Hive Colony Team 用 ❤️ 和 🦀 构建
© 2026 Ruby570bocadito. MIT 许可证。
标签:C2 服务器, Ed25519 签名, Flask Dashboard, HTTP/HTTPS 监听, LdC 协议, Lua 脚本, Ollama LLM, rizin, Rust 框架, SQLite 数据库, SSH 传播, WebSocket, XML 请求, 依赖分析, 内存共享, 加密信标, 加密窃取, 可视化界面, 多态混淆, 威胁情报, 子域名枚举, 安全开发, 开发者工具, 恶意软件, 无锁环形缓冲区, 模块化载荷, 横向移动, 策略决策, 系统安全, 编程规范, 自主传播, 请求拦截, 跨平台持久化, 轻量植入, 通知系统