c2-evasion-methodology

$npx mdskill add wgpsec/AboutSecurity/c2-evasion-methodology

Modify C2 source to bypass antivirus detection rules.

  • Helps evade YARA, Sigma, and Snort detection triggers.
  • Depends on VirusTotal, GitHub, Elastic, and ESET.
  • Prioritizes compiler flags over source code changes.
  • Outputs modified source files ready for compilation.

SKILL.md

.github/skills/c2-evasion-methodologyView on GitHub ↗
---
name: c2-evasion-methodology
description: "C2框架免杀方法论:分析 C2 源码、搜索检测规则(YARA/Sigma/Snort)、逐规则分析、修改源码绕过检测。当遇到 YARA/Sigma/Snort 规则触发告警、beacon/implant 被杀软检测到时使用。第一步:确认 implant/beacon 语言和架构;第二步:搜索对应检测规则并逐规则分析修改"
metadata:
  tags: "c2,evasion,yara,sigma,beacon,implant,detection-bypass,免杀,source-modification"
  category: "evasion"
  mitre_attack: "T1071,T1573,T1090,T1572,T1001"
---

# C2 框架免杀方法论

## 深入参考

以下参考资料**按需加载**,到达对应 Phase 时读取:

| Phase | 参考文档 | 用途 |
|-------|----------|------|
| 2 | [references/detection-search.md](references/detection-search.md) | YARA/Sigma/网络规则搜索命令 |
| 3 | [references/rule-analysis.md](references/rule-analysis.md) | 逐规则分析与免杀策略制定 |
| 3.5 | [references/hex-analysis.md](references/hex-analysis.md) | Hex 模式深度分析 |
| 3.6 | [references/binary-analysis.md](references/binary-analysis.md) | 二进制资产(shellcode/资源/配置)分析 |
| 3.7 | [references/string-search.md](references/string-search.md) | 敏感字符串主动搜索 |
| 4 | [references/source-modify.md](references/source-modify.md) | 源码修改模式与编译器标志 |

---

## 6 步决策流程

```
Phase 1: 识别 C2 组件
├─ 找到 implant/beacon/agent 目录
└─ 识别语言(C/Go/Rust/Python)

Phase 2: 检测规则搜索 → ⛔必读 references/detection-search.md
├─ YARA 规则(VirusTotal/GitHub/Elastic/ESET)
├─ Sigma 规则(日志行为检测)
└─ 网络规则(Snort/Suricata/Zeek)

Phase 3: 逐规则分析 → ⛔必读 references/rule-analysis.md
├─ 解析每个 $s1/$a1/hex pattern
├─ 定位源码中产生该 pattern 的位置
├─ 制定免杀策略(优先级: 编译器标志 > 构建配置 > 源码修改 > 重构)
│
├─ Phase 3.5: Hex 分析 → references/hex-analysis.md
├─ Phase 3.6: 二进制资产 → references/binary-analysis.md
└─ Phase 3.7: 字符串搜索 → references/string-search.md

Phase 4: 靶向修改 → ⛔必读 references/source-modify.md
├─ ⛔ 编译器标志优先!(-O2, -fomit-frame-pointer, -fno-ident)
├─ 字符串混淆(XOR 加密)
├─ 函数重命名
└─ Makefile/构建链修改

Phase 5: 验证
└─ grep 确认所有检测 pattern 已消除

Phase 6: 文档
└─ 生成 modifications_summary.md
```

## 优先级框架

| 优先级 | 组件 | 动作 |
|--------|------|------|
| 1 (最高) | Implant/Beacon/Agent 二进制 | 必须修改 |
| 2 (高) | 网络特征暴露 | 必须修改 |
| 3 (跳过) | 内部字符串(不影响检测) | 可跳过 |

## 免杀策略决策矩阵

| Pattern 类型 | 编译器标志 | 源码修改 | 两者都需要 |
|-------------|-----------|---------|-----------|
| 函数序言(prologue) | ✅ 通常足够 | ✅ 备选 | 少见 |
| 字符串字节 | ❌ 无效 | ✅ 必须 | — |
| API 调用序列 | ⚠️ 可能有效 | ✅ 必须 | 有时 |
| 配置结构体 | ❌ 无效 | ✅ 必须 | — |

## 字符串混淆
- 混淆后必须验证:编译通过、功能正常、不影响运行
- 自动化处理:脚本批量替换,非手动逐个修改

More from wgpsec/AboutSecurity

SkillDescription
401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security|
ai-data-security|