GnomeMan4201/Lune

# LUNE **模块化对手模拟与实时欺骗框架** [](https://github.com/GnomeMan4201/Lune/actions) [](LICENSE) [](https://python.org) LUNE 是一个模块化的对手模拟平台，专为需要真实欺骗能力的操作者打造，而非仅用于演示。它将 64 个模块的技战术库、LLM 驱动的变异引擎、预构建的操作链、加密的 C2 基础设施以及统一的人设系统集成到单一的操作控制台中。 它专为经授权的红队行动、受控实验室模拟和安全研究而设计。这里没有任何学术性的脚手架代码——每个模块都可执行，每条链路都经过测试。

## 架构 ``` lune/ ├── lune/ # Core operator environment │ ├── lune-tui.py # Unified entry point — single command interface │ ├── lune.py # Recon sweep + TUI launcher │ ├── modules/ # 64 tradecraft modules │ │ ├── mutagen.py # LLM mutation engine (Ollama/mistral) │ │ ├── chainforge.py # Operation chain executor │ │ ├── persona_engine.py # Unified identity + attribution controller │ │ ├── session.py # Shared operation state │ │ ├── orchestrator.py # Module chain builder │ │ └── [54 others] # Full tradecraft surface │ └── decoy_mirage/ # Pre-generated deception artifact tree ├── server/ │ └── c2.py # Hardened C2 — AES-128-CBC + HMAC-SHA256 ├── agents/ │ └── lune_agent.py # Hardened agent — encrypted beacon/report cycle ├── modules/ │ ├── core/ # Perception control, history poisoner, pollution daemon │ └── deception/ # Deception injectors, signal obfuscators, decoy forge └── docs/ # Architecture, design notes, project structure ``` ## 模块概览 LUNE 附带 64 个按功能分类的可执行模块： **Recon** — `aether` `dryad` `vane` `wisp` `wallflower` `meta` **Deception** — `decoy` `fable` `wraith` `grackle` `brine` `smudge` `lurestate` `mimesis` `alibi` `persona_engine` **Persistence** — `dreamtether` `sliphook` `spindle` `hollowroot` `stealth` `stitch` `thresh` **Injection** — `fracture` `ghostload` `helix` `palebox` `parasite` `shellsworn` `shuck` `obscura` `veil` **C2 / Comms** — `ghostctl` `glint` `nullflow` `siphon` `velvetroom` `pivot` `hearse` **Cleanup** — `bleachmouth` `relic` `vanish` `etch` `shade` **LLM / Intel** — `mutagen` `chainforge` `orchestrator` `session` ## 核心系统 ### mutagen 由本地 Ollama (mistral) 支持的 LLM 模块。四种能力： - **工件生成** — 经过环境指纹识别的虚假凭据、bash 历史条目、配置文件、SSH 密钥、JWT 令牌、AWS 密钥对，样式与目标环境融为一体 - **人设 IOC 生成** — 合成 C2 域名、文件哈希、注册表键、用户代理字符串，模仿 APT28、Lazarus、Charcoal Typhoon、FIN7 或自定义威胁行为者配置文件的样式 - **OPSEC 分析** — 对拟定行动的结构化评估：检测风险评级、具体检测机制、留下的取证工件、规避建议、OPSEC 评分 - **Payload 变异** — 接收原始 payload（bash、python、powershell、C 或技术描述），并在六种策略中生成经过规避优化的变体：混淆、LOLbins、分片、时间规避、进程伪装、编码链 完全离线运行。无外部 API 调用。 ### chainforge 带有会话日志记录的预构建操作链执行器。 五条内置链： | Chain | Steps | Risk | Description | |---|---|---|---| | ghost_op | 7 | High | 指纹识别 → 隐匿 → 欺骗 → 持久化 → 消失 | | deception_flood | 6 | Medium | 用虚假工件饱和填充环境 | | recon_sweep | 6 | Low | 被动优先的主机和网络侦察 | | persistence_web | 7 | High | 跨重启的多向量持久化 | | clean_exit | 5 | Medium | 证据销毁和清理 | 自定义链构建器允许操作者从完整的模块库中组合任意序列。所有链都会将带有时间戳的 `.log` 和 `.json` 写入 `.lune_sessions/`。试运行模式可在不触碰任何东西的情况下预览执行过程。 ### persona_engine 统一身份与归因控制器，封装了 `fable`、`alibi` 和 `mimesis`。 - 通过 Faker 生成合成的操作者身份 - 通过 `prctl(PR_SET_NAME)` 将进程重命名为受信任的系统二进制文件 - 应用网络噪声以混淆行为模式 - 四个内置威胁行为者配置文件，包含真实的 TTP、进程名称、虚假域名模式、用户代理和 MITRE ATT&CK 技术 ID - 归因注入植入特定配置文件的 IOC（bash 历史中的用户代理、虚假 C2 域名引用、MITRE 技术标记）以嫁祸给特定的威胁行为者 - 人设状态持久化到 `active_persona.json` 并与会话上下文集成 ### 会话 共享操作状态模块。任何模块都可以读写： - `record_module(name, status, note)` — 记录运行了什么以及何时运行 - `record_artifact(kind, value, source)` — 跟踪已植入的工件 - `set_flag / get_flag` — 任意键值对操作状态 - `set_persona / get_persona` — 活动人设跟踪 - `archive_session()` — 将活动会话移动到带时间戳的归档中 状态持久化于 `.lune_sessions/active_session.json`。TUI 状态行反映实时会话状态。 ### C2 基础设施 C2 服务器与 Agent 使用匹配的加密和认证方式： - 对所有任务下发和结果收集使用 AES-128-CBC 加密 - HMAC-SHA256 请求签名 — 每个请求在处理前均经过验证 - 密钥材料从环境变量或自动生成的密钥文件加载（chmod 600，绝不硬编码） - Agent 注册表，包含信标计数、最后在线时间、任务计数和结果存储 - 活动日志位于 `server/data/c2_activity.log` - Agent 使用带高斯抖动的信标间隔，并在失败时进行指数退避 ## 安装 ``` git clone https://github.com/GnomeMan4201/Lune.git cd Lune python3 -m venv .venv source .venv/bin/activate pip install -r lune/lune/requirements.txt ``` 对于 `mutagen`（可选 — LLM 功能）： ``` # 安装 Ollama：https://ollama.com ollama pull mistral ``` ## 快速开始 ``` cd lune/lune python3 lune-tui.py ``` ``` lune: session new op_name lune: list lune: chain lune: persona lune: mutagen lune: status ``` 运行 C2 服务器： ``` cd lune/server python3 c2.py --host 127.0.0.1 --port 5000 ``` 部署 Agent： ``` cd lune/agents LUNE_C2_URL=http://127.0.0.1:5000 \ LUNE_AGENT_ID=agent_001 \ LUNE_MASQ=sshd \ python3 lune_agent.py ``` 排队一个任务（首次 C2 启动时自动生成密钥）： ``` # 读取生成的密钥 KEY=$(cat lune/server/.lune_c2.key) HMAC=$(cat lune/server/.lune_hmac.secret) # 通过 Python helper 加密并签名 python3 -c " from lune.server.utils.crypto import encrypt_message import hmac, hashlib, json, requests payload = json.dumps({'data': encrypt_message({'task': 'whoami'})}) sig = hmac.new('$HMAC'.encode(), payload.encode(), hashlib.sha256).hexdigest() r = requests.post('http://127.0.0.1:5000/api/queue/agent_001', data=payload, headers={'Content-Type': 'application/json', 'X-LUNE-SIG': sig}) print(r.text) " ``` ## 诊断 ``` cd lune/lune python3 lune-diagnose.py ``` 扫描所有模块，自动安装缺失的依赖项，报告导入错误和缺失的 `run()` 函数。 ## 文档 - `docs/ARCHITECTURE.md` — 系统设计和数据流 - `docs/DESIGN_NOTES.md` — 技战术逻辑与意图 - `docs/PROJECT_STRUCTURE.md` — 完整文件布局 - `docs/CONTRIBUTING.md` — 扩展 LUNE ## 法律声明 仅供经授权的安全研究、红队模拟和教育使用。仅在你拥有或获得明确书面许可测试的系统上使用。你需全权负责遵守所有适用法律。 *LUNE // badBANANA research // GnomeMan4201*

标签：AI风险缓解, BOF, C2框架, Cloudflare, DNS 反向解析, DNS 解析, Google搜索, IP 地址批量处理, MITRE ATT&CK, Python安全工具, TUI界面, 安全学习资源, 安全工具集合, 对手模拟, 情报伪装, 战术变异, 攻击模拟, 欺骗防御, 红队框架, 网络安全, 逆向工具, 隐私保护, 驱动签名利用