drkemp187/SpectreNet
GitHub: drkemp187/SpectreNet
SpectreNet 是一套自主运行的多平台蜜罐集群系统,通过在明网和 Tor 暗网部署自动轮换的诱饵服务来持续捕获、分类和分析攻击者的战术技术与行为画像。
Stars: 0 | Forks: 0
# SpectreNet
**面向明网与暗网的自主蜜罐集群。**
SpectreNet 会在 Tor hidden services 和临时云实例上部署逼真的诱饵服务,捕获攻击者的每一步行动,对其 TTPs 进行分类,并在暴露后自动轮换。全程无需人工干预。
```
┌──────────────────────────────────────────────────┐
│ SpectreNet Agent │
│ │
│ Deploy ──► Hunt ──► Classify ──► Alert ──► Rotate │
│ │
│ Loops forever. Zero touch. │
└──────────────────────────────────────────────────┘
```
## 工作原理
### 1. 部署阶段
Agent 会自动在以下位置配置逼真的蜜罐:
- 通过本地 tor daemon 部署的 **Tor hidden services**(`.onion`)
- 通过临时免费套餐实例(fly.io、Render、Railway)部署的**明网**(clear web)
- 每个实例都会获得一个唯一身份:地理位置、软件栈和伪造数据
### 2. 追踪阶段
当攻击者触碰蜜罐时:
- 捕获每一次击键、标头和工具签名
- 运行本地 LLM 分类:区分 script kiddie、自动化扫描器还是 APT
- 提取 payload、reverse shell 和 C2 callback
### 3. 分类阶段
- 根据 TTP、工具、来源和意图为攻击者打上标签
- 通过多次访问积累并构建攻击者画像
### 4. 告警阶段
通过 Discord/Telegram webhook 发送丰富告警:
- `🚨 在 node-4 上检测到 APT 风格的连接(莫斯科出口节点)`
- `📦 捕获到新 payload — MD5: abc123 — 分类:AgentTesla 变种`
- `🔥 node-7 已暴露 — 正在自动轮换至新身份`
### 5. 轮换阶段
- 销毁已被攻陷的蜜罐
- 部署具有新身份的替代节点
- 更新 Tor onion 地址
## 快速开始
```
git clone https://github.com/drkemp187/SpectreNet.git
cd SpectreNet
pip install -r requirements.txt
cp .env.example .env
# 使用你的 webhook URLs 编辑 .env
python agent/spectre.py
```
## 部署选项
| 目标 | Provider | 成本 | 临时性 |
|--------|----------|------|-----------|
| Tor hidden service | 本地 tor daemon | 免费 | 手动轮换 |
| Web 应用 | fly.io 免费套餐 | 免费 | 自动轮换 |
| Web 应用 | Render 免费套餐 | 免费 | 自动轮换 |
| Web 应用 | Railway 免费套餐 | 免费 | 自动轮换 |
## 架构
```
spectre/
├── agent/
│ ├── spectre.py # Main orchestration agent
│ ├── deployer/ # Honeypot deployment modules
│ │ ├── tor.py # Tor hidden service deployer
│ │ ├── fly.py # fly.io deployer
│ │ └── templates/ # Honeypot service templates
│ ├── hunter/ # Attack capture & analysis
│ │ ├── capture.py # Keystroke & payload capture
│ │ └── classifier.py # LLM-based TTP classification
│ ├── monitor/ # Dark web monitoring
│ │ └── scraper.py # Forum/leak site monitoring
│ └── alerts/ # Notification system
│ ├── discord.py
│ └── telegram.py
├── data/ # Captured intel storage
├── .env.example
├── requirements.txt
└── README.md
```
## 环境要求
- Python 3.10+
- Tor(用于 .onion 部署)
- fly.io CLI(可选,用于云端部署)
## License
MIT
标签:C2, LLM分析, Tor网络, 威胁情报, 安全, 开发者工具, 暗网, 特权提升, 网络信息收集, 自动化部署, 蜜罐, 证书利用, 超时处理, 逆向工具