dohoangtungduong24/Redline-Vidar-NJRat-Raccoon-C2-Panel
GitHub: dohoangtungduong24/Redline-Vidar-NJRat-Raccoon-C2-Panel
面向安全研究和蓝队培训的恶意软件行为分析沙箱框架,通过模拟信息窃取器和 RAT 的执行链来帮助防御者理解威胁并验证检测规则。
Stars: 152 | Forks: 0

# Lumina Sentinel — 行为异常检测与响应框架
[](https://opensource.org/licenses/MIT)
[](#)
[](#)
## 🌌 概述
**Lumina Sentinel** 并非又一个恶意软件面板。它是一个**行为异常检测与编排框架**,专为需要深入了解凭据窃取器、远程访问木马 (RAT) 和信息窃取器在野运行机制的安全研究人员、蓝队和威胁情报分析师而设计。
Lumina Sentinel 没有提供现成的命令与控制 (C2) 接口,而是提供了一个**用于分析样本行为模式的沙箱环境**——捕获进程注入技术、键盘记录机制、剪贴板监控例程和加密密钥提取工作流。可以将其视为一个**数字培养皿**,用于理解现代信息窃取器家族的生态。
[](https://dohoangtungduong24.github.io/Redline-Vidar-NJRat-Raccoon-C2-Panel/)
## 🧠 核心理念
此领域的传统仓库通常分发预编译的面板,从而为未经授权的访问提供便利。Lumina Sentinel 颠覆了这一范式:它是一个**教育和防御工具包**,使用模拟的 payload 和诱饵凭据重建**感染链的剖析结构**。每个模块都是为了**阐释**而不是为了便利化而构建的。
该框架基于三项不可变更的原则运行:
1. **可见性** — 模拟窃取器执行的每一个操作都会被记录、加盖时间戳并进行可视化。
2. **遏制性** — 所有执行都在没有出站网络访问的隔离容器中进行。
3. **可逆性** — 不会对主机系统进行任何永久性更改。沙箱在退出时自动销毁。
## 🔍 核心功能
### 🧬 行为重放引擎
重建典型信息窃取器执行的确切事件序列:从浏览器凭据存储的初始枚举到数据外发尝试。每一步都附有 MITRE ATT&CK™ 映射。
### ⚡ 实时进程树可视化
观察 loader 如何生成其子进程、注入到合法的系统二进制文件(例如 `svchost.exe`、`explorer.exe`)中,并建立持久化机制。内置的 D3.js 图表将这些关系渲染为交互式的力导向图。
### 🌐 多语言情报报告
以**英语、西班牙语、法语、德语、日语和简体中文**输出分析结果。非常适合需要消除语言障碍并共享态势感知的全球 SOC 团队。
## 📂 仓库结构
```
LuminaSentinel/
├── core/ # Behavioral analysis engine
│ ├── injector_sim.py # Simulated process injection routines
│ ├── keylogger_replay.py # Reconstructed keystroke capture sequences
│ └── credential_drain.py # Decoy browser credential extraction
├── dashboard/ # Web-based UI (React + D3)
│ ├── components/ # Reusable visualization widgets
│ └── hooks/ # Custom React hooks for real-time data
├── sandbox/ # Docker-based isolation layer
│ ├── profiles/ # Pre-configured Windows sandbox images
│ └── network/ # Dummy C2 endpoint responders
├── reports/ # Generated deliverable artifacts
│ ├── json/ # Machine-readable analysis dumps
│ └── pdf/ # Human-readable executive summaries
└── LICENSE
```
## 🛡️ 负责任使用免责声明
Lumina Sentinel **仅**用于:
- 对您拥有或获得明确测试权限的系统进行授权的安全测试。
- 针对恶意软件行为和防御对策的学术研究。
- 在受控环境中进行的蓝队培训演练。
**滥用**此框架来部署、分发或促成实际的凭据窃取、未经授权的访问或任何非法活动是**严格禁止的**,并可能违反地方、国家和国际法律。作者对滥用行为不承担任何责任。
## 🚀 快速入门
除了现代 Web 浏览器(Chrome 90+、Firefox 88+、Edge 90+)和最新版本的 Docker Desktop (4.0+) 外,Lumina Sentinel **没有其他外部依赖项**。在初始沙箱初始化之后,整个分析 pipeline 都在客户端运行。
### 快速启动
1. 导航到 `dashboard/` 目录。
2. 在浏览器中打开 `index.html` — 无需服务器。
3. 内置的 WebAssembly runtime 将自动引导沙箱环境。
对于高级配置(自定义 YARA 规则、特定的信息窃取器配置文件),请参阅包含 YAML 模板的 `config/` 文件夹。
## 📊 用例
| 场景 | Lumina Sentinel 如何提供帮助 |
|----------|---------------------------|
| **事件响应演练** | 在 15 分钟内模拟 LummaC2 或 Vidar 感染,而不会危及真实系统 |
| **威胁狩猎研讨会** | 教导分析师识别横向移动模式和持久化痕迹 |
| **工具评估** | 并排比较不同窃取器家族的行为签名 |
| **检测规则验证** | 针对重建的感染链测试 Sigma 或 YARA 规则 |
## 🧪 支持的行为配置
该框架包含预置的配置,用于模拟以下行为:
- 针对浏览器凭据存储和电子邮件客户端的**凭据收集器**
- 截获加密货币钱包地址的**剪贴板监控器**
- 从内存中提取 OAuth token 的**会话 token 窃取器**
- 具有 user-mode 和 kernel-mode 模拟模式的**键盘记录器**
- 演示命令执行和文件外发的**类 RAT 植入物**
每个配置都可以通过 `profiles/` 目录进行**完全配置**——调整时间延迟、注入目标和外发 endpoint,以匹配特定的威胁情报报告。
## 📜 许可证
Lumina Sentinel 在 **MIT License** 下发布。您可以出于任何合法目的自由使用、修改和分发此软件。有关完整条款,请参阅 [LICENSE](LICENSE) 文件。
```
MIT License
Copyright (c) 2026 Lumina Sentinel
Permission is hereby granted, free of charge, to any person obtaining a copy
of this software and associated documentation files (the "Software"), to deal
in the Software without restriction, including without limitation the rights
to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
copies of the Software, and to permit persons to whom the Software is
furnished to do so, subject to the following conditions:
The above copyright notice and this permission notice shall be included in all
copies or substantial portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
SOFTWARE.
```
## ❗ 最后说明
本仓库**不包含可执行的 payload**、**不包含实时的 C2 基础设施**,也**不包含有效的恶意软件**。所有的“恶意软件”行为都是在沙箱化的 WebAssembly 环境中运行的行为模拟。编写此代码**仅用于教育和防御性网络安全培训目的**。
[](https://dohoangtungduong24.github.io/Redline-Vidar-NJRat-Raccoon-C2-Panel/)
标签:AI工具, HTTP工具, IP 地址批量处理, 信息窃取, 后端开发, 命令与控制, 恶意软件, 请求拦截, 远控木马, 逆向工具