drb-ra/C2IntelFeeds

# C2IntelFeeds 自动创建的 C2 订阅源 | 也通过 [@drb_ra](https://twitter.com/drb_ra) 发布 **如果没有 Censys 提供的源/原始数据，这是不可能实现的** - https://censys.io/ **C2IntelFeeds** 是一系列自动生成的 **命令与控制 (C2) 威胁情报订阅源** 的集合，源自大规模互联网扫描数据（主要是 Censys）。 这些订阅源旨在供 **防御者** 使用，适用于： - 威胁追踪 - 网络监控 - 检测工程 - IOC 丰富 - 防御性阻断或告警 该项目专注于识别 **真实的 C2 基础设施**，而非恶意软件样本。 ## 🔍 本仓库提供的内容 本仓库包含多个列出疑似或已确认 C2 基础设施的 **纯文本、CSV 和 JSON 订阅源**，包括： - C2 IP 地址 - C2 域名和主机名 - 包含 C2 URL 路径的域名 - IP + 端口组合 - C2 配置元数据（如果可用） 订阅源会自动更新，主要反映 **近期活动**。 ## ⏱️ 时间窗口 大多数订阅源提供两个时间范围： - **7 天订阅源**（默认） - **30 天订阅源**（历史背景） - **90 天订阅源**（长期背景） 时间窗口指的是 **最后一次观察到的活动**，而非创建日期。 ## 📁 订阅源类型 ### ✅ 已验证订阅源（首选） 这些订阅源经过了额外的验证，并 **排除了已知的良性基础设施**。 | Feed | Description | |----|----| | **C2 IPs** | 已验证的 C2 服务器 IP 地址 | | **C2 Domains** | 从已知 C2 植入程序中提取的域名 | | **C2 Domains (Filtered)** | 同上，移除了高误报率的域名 | | **C2 Domains + URL** | 包含特定 C2 URI 路径的域名 | | **C2 Domains + URL + IP** | 域名、路径及解析出的 IP | ### ⚠️ 未验证订阅源 这些订阅源根据指纹匹配生成，但 **可能包含误报**。 | Feed | Description | |----|----| | **Unverified C2 IPs** | 基于扫描特征的可能 C2 IP | | **Unverified C2 Domains** | 可能的 C2 域名 | | **IP + Port Pairs** | 目标 IP 和端口组合 | ## 🧬 C2 配置数据 在可能的情况下，提取的 **C2 配置元数据** 包含在 CSV 和 JSON 格式中。 典型字段可能包括： - 首次发现时间戳 - 真实 C2 IP（实际监听器） - 端口、抖动、休眠时间 - ASN 和网络信息 - HTTP 主机头 - TLS 证书数据 - User-agent 字符串 - 可选公钥（JSON） 可能提供 **标准** 和 **30 天** 两种变体。 ## 🛰️ 数据是如何生成的 订阅源是使用 **Censys 搜索查询** 构建的，旨在通过指纹识别检测已知的 C2 框架： - TLS 证书字段 - JARM 指纹 - HTTP 响应头和标题 - Body 哈希 - 服务 Banner - 已知植入程序特征 # Censys 搜索 | Tool | ```Censys Search```| |------|:------------| |[Sliver](https://github.com/BishopFox/sliver) |`(services.tls.certificates.leaf_data.subject.common_name="multiplayer" and same_service(services.jarm.fingerprint= 00000000000000000043d43d00043de2a97eabb398317329f027c66e4c1b01 and NOT services.port=31337 )) OR (services.banner_hashes="sha256:1f25c454ae331c582fbdb7af8a9839785a795b06a6649d92484b79565f7174ae" and services.jarm.fingerprint=3fd21b20d00000021c43d21b21b43d41226dd5dfc615dd4a96265559485910) OR same_service(services.tls.certificates.leaf_data.pubkey_bit_size: 2048 and services.tls.certificates.leaf_data.subject.organization: /(ACME\|Partners\|Tech\|Cloud\|Synergy\|Test\|Debug)? ?(co\|llc\|inc\|corp\|ltd)?/ and services.jarm.fingerprint: 3fd21b20d00000021c43d21b21b43d41226dd5dfc615dd4a96265559485910 and services.tls.certificates.leaf_data.subject.country: US and services.tls.certificates.leaf_data.subject.postal_code: /<1001-9999>/)`| |[Covenant](https://github.com/cobbr/Covenant) |`same_service(services.tls.certificates.leaf_data.subject_dn="CN=Covenant" AND services.tls.certificates.leaf_data.issuer_dn="CN=Covenant") OR (services.software.product="Kestrel web server" AND services.http.response.html_title="Covenant")`| |[Brute Ratel C4](https://bruteratel.com) |`services.http.response.body_hash="sha1:1a279f5df4103743b823ec2a6a08436fdf63fe30" OR same_service(services.http.response.body_hash="sha1:bc3023b36063a7681db24681472b54fa11f0d4ec" and services.jarm.fingerprint="3fd21b20d00000021c43d21b21b43de0a012c76cf078b8d06f4620c2286f5e")`| |[Mythic](https://github.com/its-a-feature/Mythic) |`same_service(services.tls.certificates.leaf_data.subject_dn="O=Mythic" AND services.http.response.html_title="Mythic") OR services.banner_hashes="sha256:fb8b5d212f449a8ba61ab9ed9b44853315c33d12a07f8ce4642892750e251530" OR services.http.response.favicons.md5_hash="6be63470c32ef458926abb198356006c"`| |[Deimos](https://github.com/DeimosC2/DeimosC2)|`services.jarm.fingerprint: "00000000000000000041d00000041d9535d5979f591ae8e547c5e5743e5b64" OR same_service(services.banner_hashes="sha256:38ea755e162c55ef70f9506dddfd01641fc838926af9c43eda652da63c67058b" and services.http.response.body_hashes="sha1:04ca7e137e1e9feead96a7df45bb67d5ab3de190" and services.tls.certificates.leaf_data.subject_dn="O=Acme Co" and services.tls.certificates.leaf_data.issuer_dn="O=Acme Co" and not services.tls.certificates.leaf_data.names="127.0.0.1:3000")`| |[Nighthawk C2](https://www.mdsec.co.uk/nighthawk/) |`same_service(services.banner="HTTP/1.1 404 Not Found\r\nDate: \r\nX-Test: 2\r\nServer: Apache\r\nContent-Length: 20\r\n" and services.http.response.body_hashes="sha256:d872e8e4176213ea84ebc76d8fb621c31b4ca116fd0a51258813e804fe110ca4")`| |Bianlian Go Trojan |`same_service(services.tls.certificates.leaf_data.subject_dn=/C=[0-9a-zA-Z]{16}, O=[0-9a-zA-Z]{16}, OU=[0-9a-zA-Z]{16}/ AND services.tls.certificates.leaf_data.issuer_dn=/C=[0-9a-zA-Z]{16}, O=[0-9a-zA-Z]{16}, OU=[0-9a-zA-Z]{16}/)`| |[Havoc](https://github.com/HavocFramework/Havoc) |`same_service(services.tls.certificates.leaf_data.issuer.organization=/(Acme\|ACME\|acme\|Partners\|PARTNERS\|partners\|Tech\|TECH\|tech\|Cloud\|CLOUD\|cloud\|Synergy\|SYNERGY\|synergy\|Test\|TEST\|test\|Debug\|DEBUG\|debug)? ?(Co\|CO\|co\|Llc\|LLC\|llc\|Inc\|INC\|inc\|Corp\|CORP\|corp\|Ltd\|LTD\|ltd)?/ AND services.tls.certificates.leaf_data.issuer.country=US AND services.tls.certificates.leaf_data.issuer.postal_code=/[0-9]{4}/) OR services.http.response.headers.unknown.name: "X-Havoc" OR services.banner_hashes="sha256:f5a45c4aa478a7ba9b44654a929bddc2f6453cd8d6f37cd893dda47220ad9870"`| |[Responder](https://github.com/lgandx/Responder) |`services.banner="HTTP/1.1 401 Unauthorized\r\nServer: Microsoft-IIS/7.5\r\nDate: \r\nContent-Type: text/html\r\nWWW-Authenticate: NTLM\r\nContent-Length: 0\r\n" OR services.banner_hashes="sha256:0fa31c8c34a370931d8ffe8097e998f778db63e2e036fbd7727a71a0dcf5d28c" OR services.smb.negotiation_log.server_guid="00000000000000000000000000000000ee85abf7eaf60c4f928192476deb76a9"`| |[Pupy RAT](https://github.com/n1nj4sec/pupy)|`same_service(services.http.response.headers.Etag:"aa3939fc357723135870d5036b12a67097b03309" AND services.http.response.headers.Server="nginx/1.13.8") OR same_service(services.tls.certificates.leaf_data.issuer.organization:/[a-zA-Z]{10}/ AND services.tls.certificates.leaf_data.subject.organization:/[a-zA-Z]{10}/ AND services.tls.certificates.leaf_data.subject.organizational_unit="CONTROL")`| |Qakbot|`same_service(services.jarm.fingerprint={"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21","04d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e"} AND services.http.response.body_hash="sha1:22e5446e82b3e46da34b5ebce6de5751664fb867") OR same_service(services.banner_hashes="sha256:5234096d7003929ad67037af6f5816933cab9e85f9b286468249ac9ab9bfb861" AND services.http.response.body_hash="sha1:22e5446e82b3e46da34b5ebce6de5751664fb867") OR (services.tls.certificates.leaf_data.subject_dn: /C=[A-Z]{2}, OU=([A-Z][a-z]{3,})( [A-Z][a-z]{3,}){0,2}, CN=[a-z]{4,12}\.[a-z]{2,4}/ and not services.tls.certificates.leaf_data.subject_dn:"OU=Domain Control Validated")`| |[DcRat](https://github.com/qwqdanchun/DcRat)|`services.tls.certificates.leaf_data.issuer_dn="CN=DcRat Server, OU=qwqdanchun, O=DcRat By qwqdanchun, L=SH, C=CN"`| |Viper|`services.http.response.body_hashes="sha1:cd40dbcdae84b1c8606f29342066547069ed5a33" OR services.http.response.favicons.md5_hash="a7469955bff5e489d2270d9b389064e1"`| |[Supershell](https://github.com/tdragon6/Supershell/)|`services.http.response.html_title="Supershell - 登录" OR services.http.response.body_hashes="sha256:21ecc71669486c5b874b1be3b9c341133e83939fdbeefa2080df1b1703c4928"`| |Pikabot|`services: (tls.certificates.leaf_data.signature.self_signed: true and http.response.headers: (key: "Etag" and value.headers: '"3147526947+gzip"') and not tls.certificate.parsed.subject_dn: "emailAddress=") or services: (tls.certificates.leaf_data.signature.self_signed: true and tls.cipher_selected="TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256" and tls.certificates.leaf_data.pubkey_bit_size=4096 and tls.certificates.leaf_data.issuer_dn: /C=[A-Z]{2}, ST=[A-Z]{2}, O=([A-Z][a-z]{2,})( [A-Z][a-z\.]{2,}){0,5}, OU=([A-Z][a-z]{2,})( [A-Z][a-z\.]{2,}){0,5}, L=([A-Z][a-z]{2,})( [A-Z][a-z]{2,}){0,2}, CN=.*/)`| |Meduza Stealer|`services.http.response.html_title="Meduza Stealer" OR services.http.response.favicons.md5_hash="e7a2bb050f7ec5ec2ba405400170a27d"`| |[Evilginx/EvilGoPhish](https://help.evilginx.com)|`services.software.product: {Evilginx, EvilGoPhish}`| |Hookbot/Pegasus|`services.http.response.html_title="HOOKBOT PANEL" OR services.http.response.favicons.hashes="sha256:b13b77f0b3d95c1146394ea855d915f189d3ea374179755cfb2ac47bfc8f306c"`| |[AsyncRAT](https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp)|`same_service(services.tls.certificates.leaf_data.issuer_dn="CN=AsyncRAT Server" and services.tls.certificates.leaf_data.subject_dn="CN=AsyncRAT Server")`| |[Remcos](https://breakingsecurity.net/remcos/)|`same_service(services.tls.versions.ja4s="t130200_1301_234ea6891581" and services.tls.ja3s="eb1d94daa7e0344597e756a1fb6e7054" and services.tls.cipher_selected="TLS_AES_128_GCM_SHA256" and services.jarm.fingerprint: 00000000000000000041d41d0000001798d6156df422564fb9b667b7418e4c and services.service_name="UNKNOWN" and services.tls.certificates.leaf_data.issuer_dn="" and services.tls.certificates.leaf_data.subject_dn="")`| |DanaBot|`[REDACTED]`| |Rhysida Trojan|`[REDACTED]`| |[Oyster Backdoor](https://www.rapid7.com/blog/post/2024/06/17/malvertising-campaign-leads-to-execution-of-oyster-backdoor/)|`[REDACTED]`| |SocGholish|`[REDACTED]`| |[NetSupport Manager RAT](https://www.netsupportmanager.com)|`services.http.response.headers.Server="NetSupport Gateway/*"`| |[Geacon_Pro](https://github.com/testxxxzzz/geacon_pro)|`same_service(services.tls.certificates.leaf_data.subject_dn="C=KZ, ST=KZ, L=, O=NN Fern Sub, OU=NN Fern, CN=foren.zik" AND services.tls.certificates.leaf_data.issuer_dn="C=KZ, ST=KZ, L=, O=NN Fern Sub, OU=NN Fern, CN=foren.zik")`| |[Hak5 Cloud C2](https://shop.hak5.org/products/c2)|`services.software.product: "cloud c2" and services.software.vendor="Hak5"`| |[CHAOS](https://github.com/tiagorlampert/CHAOS)|`services.software.uniform_resource_identifier: "cpe:2.3:a:chaos:chaos:*:*:*:*:*:*:*:*"`| |[Interactsh](https://github.com/projectdiscovery/interactsh)|`services.software.uniform_resource_identifier: "cpe:2.3:a:interactsh:interactsh:*:*:*:*:*:*:*:*"`| |[Reverse SSH](https://github.com/NHAS/reverse_ssh)|`[REDACTED]`| |[wstunnel](https://github.com/erebe/wstunnel)|`[REDACTED]`| |[Ligolo-ng](https://github.com/nicocha30/ligolo-ng)|`[REDACTED]`| |Ransomhub Python C2|`[REDACTED]`| |[Pyramid](https://github.com/naksyn/Pyramid)|`[REDACTED]`| |VPN Themed Phishing|`[REDACTED]`| |StealC v2|`services.http.response.body_hashes="sha256:067b25c7c2e27041dc47a0a4564b56a6bbfdc41e5dd630dbf070fdada4dbff71"`| |[AdaptixC2](https://github.com/Adaptix-Framework/AdaptixC2)|`[REDACTED]`| |Matanbuchus|`[REDACTED]`| |[Pywssocks](https://pypi.org/project/pywssocks/)|`[REDACTED]`| ## 🧹 误报消除 仓库包含一个排除文件：**exclusions.rex** 该文件移除了： - 已知的 CDN/域前置服务 - 常见的共享主机提供商 - 频繁出现的良性基础设施 经过筛选的订阅源会自动应用这些排除规则。 ## 🧠 如何使用这些订阅源 这些订阅源适用于： - **SIEM 接入**（Splunk、Sentinel、Elastic 等） - **EDR 丰富** - **威胁追踪查询** - **网络检测** - **防火墙/代理监控** - **IOC 关联管道** 特意以 **简单格式** 提供，以 ease 自动化。 对大多数用户来说，最容易使用的文件应该是 [C2 IPs](https://github.com/drb-ra/C2IntelFeeds/blob/master/feeds/IPC2s.csv)、[C2 Domains Filtered](https://github.com/drb-ra/C2IntelFeeds/blob/master/feeds/domainC2s-filter-abused.csv) 和 [Unverified C2 IPs](https://github.com/drb-ra/C2IntelFeeds/blob/master/feeds/unverified/IPC2s.csv) 或它们的 30 天版本。 ## 🌐 VPN & 代理列表 单独的订阅源包括已知的： - VPN 出口节点 - 住宅代理网络 这些有助于： - 减少检测中的噪音 - 为出站流量添加上下文 - 识别基础设施滥用 ## 📜 许可证 本项目采用以下许可： **Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International (CC BY-NC-SA 4.0)** - 需署名 - 仅限非商业用途 - 衍生作品需以相同方式共享 ## ⚠️ 免责声明 这些订阅源 **按原样** 提供，用于防御和研究目的。 - 不保证准确性或完整性 - 基础设施可能已被入侵、错误归因或重新利用 - 在采取行动前务必进行验证 **如果您觉得这个项目有用，请注明来源。**
本作品采用 Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License 许可协议。

标签：C2服务器, Homebrew安装, HTTP/HTTPS抓包, IOC, IP黑名单, Radare2, TLS指纹, Unix, 云存储安全, 命令与控制, 域名黑名单, 威胁情报, 子域名暴力破解, 安全订阅源, 底层编程, 开发者工具, 态势感知, 恶意基础设施, 恶意软件, 数字足迹, 网络安全, 网络扫描, 自动化检测, 防御框架, 隐私保护