# C2的选择 ## **C2 的选择** C2基础设施的准备工作已经做好了,接下来该选择一款得心应手的 C2 工具,因为它将会伴随着我们很长一段时间。 在选择的时候,我们可以参考 C2 矩阵 [https://www.thec2matrix.com/matrix](https://www.thec2matrix.com/matrix)。C2 矩阵列举了知名的一批 C2 框架,当然这不是一个穷尽的列举,有些红队武器开发这会开发自己的 C2 工具,而且效果可能会很不错,但并不会公开而是内部使用。C2 矩阵还罗列了各个 C2 的差异、功能等属性。我从中挑选了几款作为介绍与对比。 ### **Metasploit** 这是大家很熟悉的了,Metasploit 既可以作为集成了诸多 exp 的渗透框架,同时它的 Meterpreter 也是个具备基础功能的 C2 框架,Kali Linux 自带Metasploit,所以使用 Meterpreter 几乎没有门槛。 优点:支持多平台植入、方便使用、门槛低、方便生成多种载荷类型 缺点:内置功能少、特征明显、植入的心跳是均等时间间隔等 [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/qXyimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/qXyimage.png) ### **Cobalt Strike** Cobalt Strike 是最知名的付费商业 C2 工具,有着庞大的使用群体,从红队操作员到 APT 组织。作为 C2 届的标杆,Cobalt Strike 的表现与功能性对得起这个头衔,尽管也并非是完美的。 优点:持续更新、稳定性高无明显 BUG、功能较为全面且强大、方便生成各种类型载荷、操作简便、社区氛围优秀以及形成了生态 缺点:内置 VNC 功能鸡肋、界面美观度一般、特征被高度收录 [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/JNEimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/JNEimage.png) ### **Sliver C2** 地址:https://github.com/BishopFox/sliver 作为一款优秀的开源 C2,Sliver C2 逐渐成为红队、APT 组织,以及其他网络犯罪组织所使用的 C2 工具。Sliver C2具备诸多 Cobalt Strike 的功能,且在不断更新中,未来可期。 优点:易于部署、内置诸多功能注重于 OPSEC、功能较为全面、持续维护与更新中 缺点:存在一些 BUG、默认生成的可执行载荷体型很大、缺乏 GUI 客户端 [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-02/scaled-1680-/ODfmE3pX1l2oKBls-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-02/ODfmE3pX1l2oKBls-image.png) ### **Sharp C2** 地址: [https://github.com/rasta-mouse/SharpC2](https://github.com/rasta-mouse/SharpC2) SharpC2是 rasta-mouse 用 C# 语言编写的一款 C2, 命令和功能都比较接近 Cobalt Strike, 并且现在已经有了 GUI 客户端. 优点:功能丰富、操作熟悉、结构干净利落 缺点:需要更多的使用反馈作为参考 [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/4VdeO3jCtkw9B5EJ-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/4VdeO3jCtkw9B5EJ-image.png) ### **Havoc C2** 地址: [https://github.com/HavocFramework/Havoc](https://github.com/HavocFramework/Havoc) 一18岁天才少年开发出的 C2 框架,功能强大,界面美观,风格有些类似 BRC4,且免费. 优点:界面美观、功能丰富、有诸多高水平红队开发员给予开发支持 缺点:不够稳定,具有一些 BUG [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/YWmvbEaWhkJRDjwz-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/YWmvbEaWhkJRDjwz-image.png) ### **BRC4** 这是一款以 EDR 规避能力著称的商业 C2。在之前,Brutal Ratel C4 ([https://bruteratel.com/)](https://bruteratel.com/)) 因为其高超的规避能力以及相比 CobaltStrike 少一些的用户,尚未出现在聚光灯下,因此也开始被一些犯罪组织所使用。BRC4 1.2.2 曾经有过泄露, 因此安全社区得以对其进行分析和作为案例研究。 [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/VvYimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/VvYimage.png) ### ### **其他** 同时,PoshC2、Mythic C2 等也是优秀且免费开源的 C2,大家都可以亲自尝试尝试。但在本课程中,我们最终还是使用 Cobalt Strike 作为C2 框架并且架设在 VPS 之上,因为 Cobalt Strike 的生态圈和社区已经足够成熟。