dilsara-sandun/Custom-C2-Framework-with-EDR-Evasion-Research
GitHub: dilsara-sandun/Custom-C2-Framework-with-EDR-Evasion-Research
一个从蓝队视角出发的 C2 通信模拟框架,通过复现 DNS-over-HTTPS 与 AES 加密 C2 流量来生成检测规则和威胁狩猎数据。
Stars: 0 | Forks: 1
# Covert-C2-Lab:DNS-over-HTTPS C2 模拟与检测研究
## 项目概述
一个轻量级的研究框架,通过 DNS-over-HTTPS (DoH) 传输和 AES-256 加密 payload 来模拟命令与控制 (C2) 通信模式——旨在为 SOC 和威胁狩猎分析生成真实的检测数据。
本项目是**进攻性研究的蓝队视角**:
构建行为 → 捕获流量 → 编写检测规则。
## 架构
┌─────────────────┐ AES-256 Encrypted over HTTPS ┌──────────────────┐
│ Simulated │ ─────────────────────────────────> │ Flask Listener │
│ Agent (VM2) │ <───────────────────────────────── │ (VM1 / Server) │
└─────────────────┘ Mocked DoH TXT Record Response └──────────────────┘
│ │
└──────────────── Wireshark / Zeek ────────────────────┘
(Monitoring VM3)
## 研究目标
- 演示 AES-256 加密如何使 DPI 签名对加密的 C2 payload 失效(高熵流量分析)
- 模拟滥用 DNS TXT 记录进行任务下发 (T1071.004)
- 生成带有标签的 pcap 数据,用于 Sigma/Suricata 规则开发
- 比较检测覆盖率:基于签名 vs. 行为分析
## MITRE ATT&CK 覆盖范围
| 技术 | 名称 | 研究重点 |
|-----------|------|----------------|
| T1071 | 应用层协议 | 行为基线 vs. 异常 |
| T1071.004 | 用于 C2 的 DNS | TXT 记录滥用检测 |
| T1140 | 去混淆/解码文件 | 基于熵的 payload 检测 |
| T1573 | 加密通道 | 绕过 DPI — AES 流量签名 |
## 检测工程产出
本项目的主要交付物是**检测层**:
- `/detections/sigma/` — 4 个 Sigma 规则(beaconing、DNS TXT 滥用、高熵 payload、进程继承关系)
- `/detections/suricata/` — 2 个 Suricata 规则(超大 DNS、异常 TXT 频率)
- `/pcaps/` — 用于分析师培训的标记捕获文件
- `/report/` — 包含 ATT&CK 映射的完整技术报告
## 实验环境设置
### 前置条件
- 3 个虚拟机(Kali 攻击模拟、Ubuntu 服务器、监控节点)
- Python 3.10+
### 安装
pip install flask cryptography requests dnspython
### 运行服务器 (VM1)
python server.py
### 运行 Agent 模拟器 (VM2 — 仅限隔离网络)
python agent.py
## 检测发现
### 发现 1:Beaconing 规律性
固定的 5 秒间隔可通过网络流量分析进行检测。
Jitter 会降低被检测率,但仍会留下统计指纹。
→ Sigma 规则:`detections/sigma/c2_beaconing_regularity.yml`
### 发现 2:DNS TXT 记录滥用
携带 base64 编码任务字符串的 TXT 记录,在统计学上不同于合法的 DNS TXT 用法(SPF/DKIM 记录),表现出异常特征。
→ Sigma 规则:`detections/sigma/dns_txt_c2_abuse.yml`
### 发现 3:HTTPS 中的高熵 Payload
AES-256 Fernet 加密的数据产生接近最大值的香农熵。
可通过代理日志上的熵评分进行检测。
→ Sigma 规则:`detections/sigma/high_entropy_https_payload.yml`
## 参考
- MITRE ATT&CK T1071.004
- MITRE ATT&CK T1090.004 (Domain Fronting)
- OWASP 测试指南
- WithSecure C2 检测实验室系列
标签:DNS-over-HTTPS, IP 地址批量处理, Metaprompt, 数据展示, 流量检测, 红队, 网络安全, 逆向工具, 隐私保护