dilsara-sandun/Custom-C2-Framework-with-EDR-Evasion-Research

GitHub: dilsara-sandun/Custom-C2-Framework-with-EDR-Evasion-Research

一个从蓝队视角出发的 C2 通信模拟框架,通过复现 DNS-over-HTTPS 与 AES 加密 C2 流量来生成检测规则和威胁狩猎数据。

Stars: 0 | Forks: 1

# Covert-C2-Lab:DNS-over-HTTPS C2 模拟与检测研究 ## 项目概述 一个轻量级的研究框架,通过 DNS-over-HTTPS (DoH) 传输和 AES-256 加密 payload 来模拟命令与控制 (C2) 通信模式——旨在为 SOC 和威胁狩猎分析生成真实的检测数据。 本项目是**进攻性研究的蓝队视角**: 构建行为 → 捕获流量 → 编写检测规则。 ## 架构 ┌─────────────────┐ AES-256 Encrypted over HTTPS ┌──────────────────┐ │ Simulated │ ─────────────────────────────────> │ Flask Listener │ │ Agent (VM2) │ <───────────────────────────────── │ (VM1 / Server) │ └─────────────────┘ Mocked DoH TXT Record Response └──────────────────┘ │ │ └──────────────── Wireshark / Zeek ────────────────────┘ (Monitoring VM3) ## 研究目标 - 演示 AES-256 加密如何使 DPI 签名对加密的 C2 payload 失效(高熵流量分析) - 模拟滥用 DNS TXT 记录进行任务下发 (T1071.004) - 生成带有标签的 pcap 数据,用于 Sigma/Suricata 规则开发 - 比较检测覆盖率:基于签名 vs. 行为分析 ## MITRE ATT&CK 覆盖范围 | 技术 | 名称 | 研究重点 | |-----------|------|----------------| | T1071 | 应用层协议 | 行为基线 vs. 异常 | | T1071.004 | 用于 C2 的 DNS | TXT 记录滥用检测 | | T1140 | 去混淆/解码文件 | 基于熵的 payload 检测 | | T1573 | 加密通道 | 绕过 DPI — AES 流量签名 | ## 检测工程产出 本项目的主要交付物是**检测层**: - `/detections/sigma/` — 4 个 Sigma 规则(beaconing、DNS TXT 滥用、高熵 payload、进程继承关系) - `/detections/suricata/` — 2 个 Suricata 规则(超大 DNS、异常 TXT 频率) - `/pcaps/` — 用于分析师培训的标记捕获文件 - `/report/` — 包含 ATT&CK 映射的完整技术报告 ## 实验环境设置 ### 前置条件 - 3 个虚拟机(Kali 攻击模拟、Ubuntu 服务器、监控节点) - Python 3.10+ ### 安装 pip install flask cryptography requests dnspython ### 运行服务器 (VM1) python server.py ### 运行 Agent 模拟器 (VM2 — 仅限隔离网络) python agent.py ## 检测发现 ### 发现 1:Beaconing 规律性 固定的 5 秒间隔可通过网络流量分析进行检测。 Jitter 会降低被检测率,但仍会留下统计指纹。 → Sigma 规则:`detections/sigma/c2_beaconing_regularity.yml` ### 发现 2:DNS TXT 记录滥用 携带 base64 编码任务字符串的 TXT 记录,在统计学上不同于合法的 DNS TXT 用法(SPF/DKIM 记录),表现出异常特征。 → Sigma 规则:`detections/sigma/dns_txt_c2_abuse.yml` ### 发现 3:HTTPS 中的高熵 Payload AES-256 Fernet 加密的数据产生接近最大值的香农熵。 可通过代理日志上的熵评分进行检测。 → Sigma 规则:`detections/sigma/high_entropy_https_payload.yml` ## 参考 - MITRE ATT&CK T1071.004 - MITRE ATT&CK T1090.004 (Domain Fronting) - OWASP 测试指南 - WithSecure C2 检测实验室系列
标签:DNS-over-HTTPS, IP 地址批量处理, Metaprompt, 数据展示, 流量检测, 红队, 网络安全, 逆向工具, 隐私保护