drkemp187/SpectreNet

GitHub: drkemp187/SpectreNet

SpectreNet 是一套自主运行的多平台蜜罐集群系统,通过在明网和 Tor 暗网部署自动轮换的诱饵服务来持续捕获、分类和分析攻击者的战术技术与行为画像。

Stars: 0 | Forks: 0

# SpectreNet **面向明网与暗网的自主蜜罐集群。** SpectreNet 会在 Tor hidden services 和临时云实例上部署逼真的诱饵服务,捕获攻击者的每一步行动,对其 TTPs 进行分类,并在暴露后自动轮换。全程无需人工干预。 ``` ┌──────────────────────────────────────────────────┐ │ SpectreNet Agent │ │ │ │ Deploy ──► Hunt ──► Classify ──► Alert ──► Rotate │ │ │ │ Loops forever. Zero touch. │ └──────────────────────────────────────────────────┘ ``` ## 工作原理 ### 1. 部署阶段 Agent 会自动在以下位置配置逼真的蜜罐: - 通过本地 tor daemon 部署的 **Tor hidden services**(`.onion`) - 通过临时免费套餐实例(fly.io、Render、Railway)部署的**明网**(clear web) - 每个实例都会获得一个唯一身份:地理位置、软件栈和伪造数据 ### 2. 追踪阶段 当攻击者触碰蜜罐时: - 捕获每一次击键、标头和工具签名 - 运行本地 LLM 分类:区分 script kiddie、自动化扫描器还是 APT - 提取 payload、reverse shell 和 C2 callback ### 3. 分类阶段 - 根据 TTP、工具、来源和意图为攻击者打上标签 - 通过多次访问积累并构建攻击者画像 ### 4. 告警阶段 通过 Discord/Telegram webhook 发送丰富告警: - `🚨 在 node-4 上检测到 APT 风格的连接(莫斯科出口节点)` - `📦 捕获到新 payload — MD5: abc123 — 分类:AgentTesla 变种` - `🔥 node-7 已暴露 — 正在自动轮换至新身份` ### 5. 轮换阶段 - 销毁已被攻陷的蜜罐 - 部署具有新身份的替代节点 - 更新 Tor onion 地址 ## 快速开始 ``` git clone https://github.com/drkemp187/SpectreNet.git cd SpectreNet pip install -r requirements.txt cp .env.example .env # 使用你的 webhook URLs 编辑 .env python agent/spectre.py ``` ## 部署选项 | 目标 | Provider | 成本 | 临时性 | |--------|----------|------|-----------| | Tor hidden service | 本地 tor daemon | 免费 | 手动轮换 | | Web 应用 | fly.io 免费套餐 | 免费 | 自动轮换 | | Web 应用 | Render 免费套餐 | 免费 | 自动轮换 | | Web 应用 | Railway 免费套餐 | 免费 | 自动轮换 | ## 架构 ``` spectre/ ├── agent/ │ ├── spectre.py # Main orchestration agent │ ├── deployer/ # Honeypot deployment modules │ │ ├── tor.py # Tor hidden service deployer │ │ ├── fly.py # fly.io deployer │ │ └── templates/ # Honeypot service templates │ ├── hunter/ # Attack capture & analysis │ │ ├── capture.py # Keystroke & payload capture │ │ └── classifier.py # LLM-based TTP classification │ ├── monitor/ # Dark web monitoring │ │ └── scraper.py # Forum/leak site monitoring │ └── alerts/ # Notification system │ ├── discord.py │ └── telegram.py ├── data/ # Captured intel storage ├── .env.example ├── requirements.txt └── README.md ``` ## 环境要求 - Python 3.10+ - Tor(用于 .onion 部署) - fly.io CLI(可选,用于云端部署) ## License MIT
标签:C2, LLM分析, Tor网络, 威胁情报, 安全, 开发者工具, 暗网, 特权提升, 网络信息收集, 自动化部署, 蜜罐, 证书利用, 超时处理, 逆向工具