---
title: "C2 框架"
weight: 60
description: "命令与控制框架，包括商业和开源 C2 平台"
date: "2026-03-24T16:29:46+08:00"
lastmod: "2026-03-24T16:29:46+08:00"
---

## C2 框架

命令与控制（C2）框架用于红队行动中的攻击者基础设施管理，提供命令执行、文件传输、权限维持等功能。

## 工具列表

{{% children sort="weight" %}}

## 工具分类

### 商业框架
| 工具 | 描述 |
|------|------|
| [Cobalt Strike](cobalt-strike) | 专业红队协作平台 |
| [Brute Ratel](brute-ratel) | 高级威胁模拟平台 |
| [Core Impact](core-impact) | 商业渗透测试平台 |

### 开源框架
| 工具 | 描述 |
|------|------|
| [Sliver](sliver) | Go 语言 C2 框架 |
| [Covenant](covenant) | .NET C2 框架 |
| [Mythic](mythic) | 跨平台 C2 框架 |
| [Empire](empire) | PowerShell/Python 后渗透框架 |

### 轻量级框架
| 工具 | 描述 |
|------|------|
| [Koadic](koadic) | Windows 后渗透工具 |
| [Pupy](pupy) | Python 远程管理工具 |
| [Quasar](quasar) | .NET RAT |

## C2 基础设施

### 重定向器配置
```bash
# Apache 重定向器配置
<VirtualHost *:80>
    ServerName legit-site.com
    DocumentRoot /var/www/html
    
    ProxyPass /malware http://c2-server:80/malware
    ProxyPassReverse /malware http://c2-server:80/malware
    
    # 正常流量转发到真实网站
    ProxyPass / http://backend-server/
</VirtualHost>
```

### Domain Fronting
```
使用 CDN 隐藏真实 C2 域名
- 配置 DNS 记录
- 使用 HTTPS SNI 伪装
- 通过 CDN 节点转发流量
```

## 常见技术

| 技术 | 描述 |
|------|------|
| Beacon | 定期回连的后门程序 |
| Stager | 分阶段加载的初始 payload |
| Stage | 后续加载的完整功能模块 |
| Malleable C2 | 可定制的 C2 通信特征 |
| Sleep Mask | 加密内存中的 Beacon |
| Block DLLs | 阻止安全工具注入 |