LAME-Projects/stratum-c2
GitHub: LAME-Projects/stratum-c2
利用合法云存储服务作为隐蔽死信投递通道的红队命令与控制框架,确保在主 C2 被发现后仍能维持弹性访问。
Stars: 2 | Forks: 0
**云持久化框架 · v1.0**
*一种绕过基础设施防御者无法封锁的后备据点。*
[](LICENSE)
[]()
[]()
[]()
[]()
[]()
[]()
## 问题所在
你的主要 C2 失联。域名被拉黑。beacon 被标记。EDR 终结了进程。你出局了。
你需要一个备用通道——一个从一开始就不会被封锁的通道。
## 核心理念
如果命令与控制(C2)流量看起来和员工将文件同步到 Dropbox 完全一样会怎样?
这就是 Stratum。命令和响应以普通文件的形式在云存储文件夹中传输。agent 永远不会连接到攻击者的基础设施。唯一可观察到的流量是发往目标防火墙已经加入白名单的提供商的 HTTPS 流量——因为封锁 Dropbox 或 OneDrive 就意味着封锁了所有使用它的员工。
**没有 teamserver。没有攻击者拥有的域名。没有可疑的 TLS 证书。没有任何东西会被封锁。**
```
OPERATOR CLOUD PROVIDER TARGET
──────── ───────────── ──────
/Machine1/
WebGUI ──HTTPS──► input.txt 🔒 ◄── poll ── agent
output.txt 🔒 ──► read ──┘
heartbeat.txt (encrypted beacon)
```
agent 在可配置的间隔时间(+ 对数正态分布的抖动)唤醒,读取输入文件,执行,加密响应,上传,然后进入休眠。所有内容均使用 RSA-4096-OAEP + AES-256-GCM 进行端到端加密。操作者的 IP 永远不会出现在目标侧的任何网络日志中。
| | Provider | Notes |
|:---:|---|---|
|
| **Dropbox** | OAuth2 refresh token · 支持商业版和个人版账户 |
|
| **Microsoft OneDrive** | Microsoft Graph API · 支持个人版和 M365 账户 |
|
| **Google Drive** | Google Drive API v3 · OAuth2 服务流程 |
|
| **SharePoint Online** | Microsoft Graph API · M365 租户站点 |
|
| **S3-compatible** | AWS S3 |
这五者共享相同的通信格式、相同的 RSA 密钥对以及相同的操作者会话。**在交战中途几分钟即可切换提供商,而无需触及 agent。** 没有其他开源框架能开箱即用地提供此功能。
## 其他地方不存在五件事
### 1. 通道在结构上是不可阻挡的
想要阻止 C2 的 SOC 会封锁 teamserver 域名或前置基础设施。想要阻止 Stratum 的 SOC 必须同时封锁 Dropbox、OneDrive、Google Drive、SharePoint 和 S3。这不是一条防火墙规则——这是没有企业会做出的业务决策。死信投递(dead-drop)架构并不试图逃避检测。它运行在防御者已经决定永久信任的基础设施上。
### 2. 单一部署流程生成六种 agent 格式
| 格式 | 平台 | 依赖项 |
|---|---|---|
| `.sh` | Linux | `curl` + `openssl` — 处处皆已预装 |
| `.ps1` | Windows | PowerShell 5.1+ — 自 Windows 7 起预装 |
| `.exe` / `.dll` | Windows | 无 — Rust 编译的 PE,无解释器,进程树中无 PowerShell |
| `.elf` | Linux | 无 — Rust 编译的 musl-static,可在任何 x86_64 Linux 上运行 |
| `.bin` | Linux / Windows | x64 PIC shellcode — 可放入任何外部加载器或注入器 |
向导会生成所有这些格式。你回答提示;它负责编译、签名、加密和打包。无需编译器标志,无需环境变量,无需手动密钥管理。
### 3. 三种部署模式——与交战需求相匹配
| 模式 | 工作原理 | 最适用于 |
|---|---|---|
| **staged-enc** | 目标上仅放置最小 stub。首次运行时:从云端获取一次性引导密钥,在内存中解密完整 agent,从云端删除密钥。Payload 永远不会以明文形式触及磁盘。 | 标准交战——初始痕迹最小,密钥在传递后即销毁 |
| **stageless-enc** | 完整 agent 嵌入在单个交付文件中,使用 stub 内置密钥加密。交付后无需获取云端密钥。 | 物理隔离或受限网络——单一独立文件 |
| **stageless-plain** | agent 为明文。命令和响应在传输过程中保持完全加密。 | 实验室和受控环境 |
所有模式共享相同的执行后行为:stub 在本地缓存带有硬件指纹的加密 blob,以便后续运行直接从磁盘加载,而无需触及云端。
### 4. 持久化——探测、安装、存活
在触及任何注册表项或 cron 条目之前,运行 `/persist probe`。agent 会检查当前特权级别下可用的所有技术,并返回可行性报告。非破坏性——不留任何痕迹。
```
/persist probe
✓ schtask-logon — feasible (SYSTEM)
✓ registry-run — feasible
✗ schtask-boot — requires elevation
✓ startup-folder — feasible
...
```
选择有效的手段,进行安装,并在完成后干净地移除。WebGUI 会跟踪每个会话安装的每一项技术。`/kill` 命令通过一个指令即可摧毁一切——持久化机制、二进制文件、云端痕迹。
**为需要“不存在”的基础设施的操作者而构建。**
*如果 Stratum 对您有帮助,请考虑留下一个 ⭐ —— 这有助于其他人发现它。*
标签:AI合规, C2框架, Cutter, 可视化界面, 命令控制, 安全学习资源, 安全攻防, 数据可视化, 数据采集, 网络信息收集, 逆向工具, 隐蔽通信