AdaptixC2 listener_beacon_http 通信机制与流量解密技术详解<\/strong><\/h3>
一、分析环境与工具准备<\/strong><\/h4>
在进行逆向与流量分析前，需搭建以下环境：<\/p>

AdaptixC2 源码<\/strong>：需自备 AdaptixC2_main_v0.8<\/code> 源码，这是分析的基础。关键代码位于 Extenders\/<\/code> 和 AdaptixServer\/<\/code> 目录。<\/li>
分析工具<\/strong>： mitmproxy<\/strong>：用作中间人（MITM）代理，拦截并解密 HTTPS 流量（降级为 HTTP 明文）。使用命令： mitmproxy --listen-port 8080<\/span> --ssl-insecure --set ssl_version_client=<\/span>TLSv1_2 -w output.mitm <\/span><\/span><\/code><\/pre><\/li> Wireshark<\/strong>：进行原始流量抓包。需配置 sslkeys.log<\/code> 环境变量以解密 TLS 流量。<\/li> <\/ul> <\/li> 编程环境<\/strong>：使用 IDE（如 VS Code 或 GoLand）<\/strong> 阅读和跟踪 Go 语言源码。同时需准备 Python<\/strong> 环境来编写解密脚本。<\/li> <\/ol> 二、核心通信机制与加解密流程<\/strong><\/h4> AdaptixC2 的通信采用多层加密，理解其密钥体系是解密的关键。<\/p> 1. 初始心跳（注册）与静态 RC4 密钥<\/strong><\/h5> 触发<\/strong>：Agent（agent.x64.exe<\/code>）首次上线时，向 C2 Server 发送一个 HTTP GET 请求作为心跳包。<\/li> 密钥生成与存储<\/strong>：当在 C2 Server 端创建 listener_beacon_http<\/code> 监听器时，会随机生成一个 16 字节的加密密钥<\/strong>。<\/li> 该密钥存储在 HTTPConfig.EncryptKey<\/code> 中。<\/li> 此密钥会持久化保存<\/strong>在服务端的数据库 adaptixserver.db<\/code> 中。<\/li> 在提供的例子中，该密钥的 Base64 编码为：kJiY+eNoaq\/j8VvSHUOl0Q==<\/code>。<\/li> <\/ul> <\/li> 数据携带<\/strong>：Agent 将心跳数据（称为 beat<\/code>）通过 HTTP 头 x-nws-log-uuid<\/code> 发送（该示例中）或类似的自定义头。<\/li> 第一层解密（心跳包）<\/strong>： C2 Server 从 HTTP 头中读取 Beat<\/code> 数据（Base64 编码）。<\/li> 使用监听器的静态 EncryptKey<\/code> 进行 RC4 解密<\/strong>。<\/li> 解密后的明文 beat<\/code> 数据结构如下：前 8 字节<\/strong>：Agent Type<\/code> (4 字节) + Agent ID<\/code> (4 字节)<\/li> 后续部分<\/strong>：包含 Flags<\/code> 字段和多个可变长度字符串（如 Hostname<\/code>, Username<\/code>, Executable<\/code> 路径等）。<\/li> <\/ul> <\/li> 在此 beat<\/code> 数据的偏移量 36 字节后<\/strong>，存储着用于后续通信的 SessionKey<\/strong>。<\/li> <\/ul> <\/li> <\/ul> 2. 会话密钥 (SessionKey) 与动态加密<\/strong><\/h5> SessionKey 的提取<\/strong>：服务端的 CreateAgent<\/code> 函数（位于 pl_agent.go<\/code>）在解析初始心跳包时，会从解密后的 beat<\/code> 数据中提取出 SessionKey<\/code>。这是 Agent 与 C2 后续所有通信的对称会话密钥<\/strong>。<\/li> 双重加密模型<\/strong>：后续的任务下发和结果回传都采用两层加密<\/strong>：第一层（外层）<\/strong>：使用监听器的静态 EncryptKey<\/code>（kJiY...<\/code>）进行 RC4 加密。<\/li> 第二层（内层）<\/strong>：使用本次会话的动态 SessionKey<\/code> 进行 RC4 加密。<\/li> <\/ol> <\/li> <\/ul> 三、流量解密实战分析<\/strong><\/h4> 通信过程包含三个关键数据包，下图清晰地展示了其交互流程和解密层次：<\/p> sequenceDiagram participant A as Agent participant S as C2 Server participant M as mitmproxy\/Wireshark Note over A, S: 1. 初始心跳 (注册) A->>S: HTTP GET<br\/>Header: x-nws-log-uuid=RC4(EncryptKey, beat_data) Note left of A: beat_data中包含SessionKey S-->>A: HTTP Response<br\/>(无任务data字段为空) Note over A, S: 2. 任务下发 (C2 -> Agent) S->>A: HTTP Response<br\/>Body: { data: RC4(EncryptKey, RC4(SessionKey, Task)) } Note right of S: 任务示例: whoami M->>M: 解密外层(RC4_EncryptKey)<br\/>得到: RC4(SessionKey, Task) 密文 Note over A, S: 3. 任务执行与结果回传 (Agent -> C2) A->>S: HTTP POST<br\/>Body: RC4(EncryptKey, RC4(SessionKey, Result)) Note left of A: 执行命令，回传结果 M->>M: 解密外层(RC4_EncryptKey)<br\/>得到: RC4(SessionKey, Result) 密文 <\/code><\/pre> 接下来，我们对每个阶段进行详细剖析。<\/p> 阶段一：解密初始心跳包<\/strong><\/h5> 目标<\/strong>：验证静态密钥并提取 Agent 信息。<\/p> 源码定位<\/strong>：AdaptixC2_main_v0.8\/Extenders\/listener_beacon_http\/pl_http.go<\/code><\/li> 解密脚本<\/strong> (Beacon_Http_Rc4_Decode.py<\/code>)：<\/li> <\/ul> #!\/usr\/bin\/env python3<\/span> <\/span><\/span>import<\/span> base64 <\/span><\/span>from<\/span> Crypto.Cipher import<\/span> ARC4 <\/span><\/span>import<\/span> argparse <\/span><\/span> <\/span><\/span>def<\/span> main<\/span>(): <\/span><\/span> parser =<\/span> argparse.<\/span>ArgumentParser(description=<\/span>'Decode AdaptixC2 Beacon HTTP Traffic'<\/span>) <\/span><\/span> parser.<\/span>add_argument('--key'<\/span>, required=<\/span>True<\/span>, help=<\/span>'Base64 encoded RC4 key'<\/span>) <\/span><\/span> parser.<\/span>add_argument('--header'<\/span>, required=<\/span>True<\/span>, help=<\/span>'Base64 encoded data from header'<\/span>) <\/span><\/span> args =<\/span> parser.<\/span>parse_args() <\/span><\/span> <\/span><\/span> # Decode the key and data<\/span> <\/span><\/span> rc4_key =<\/span> base64.<\/span>b64decode(args.<\/span>key) <\/span><\/span> encrypted_data =<\/span> base64.<\/span>b64decode(args.<\/span>header) <\/span><\/span> <\/span><\/span> # Decrypt with RC4<\/span> <\/span><\/span> cipher =<\/span> ARC4.<\/span>new(rc4_key) <\/span><\/span> decrypted_data =<\/span> cipher.<\/span>decrypt(encrypted_data) <\/span><\/span> <\/span><\/span> print(f<\/span>"Decrypted Hex: <\/span>{<\/span>decrypted_data.<\/span>hex()}<\/span>"<\/span>) <\/span><\/span> print(f<\/span>"Decrypted Raw: <\/span>{<\/span>decrypted_data}<\/span>"<\/span>) <\/span><\/span> <\/span><\/span>if<\/span> __name__ ==<\/span> '__main__'<\/span>: <\/span><\/span> main() <\/span><\/span><\/code><\/pre> 操作命令与结果<\/strong>： python .\B<\/span>eacon_Http_Rc4_Decode.py --key kJiY+eNoaq\/j8VvSHUOl0Q==<\/span> --header QCcNx3EyLCgMPAr+TnGdPy5RQIdfmYiADUkr3b11iT4laCf11qgYliN\/2zwR8T1rFBOnksPrZ\/Q6prmuCbfsHRtYHggVmMaoQ1mFkZftDQx6nZd0pkguBWgO4fAFuy93jJoWi7FXSEPzoTAWUjmG0C7fzW70qHxD4Q==<\/span> <\/span><\/span><\/code><\/pre><\/li> 输出分析<\/strong>：解密后的数据应包含可读的字符串（主机名、用户名、进程路径等），与 C2 控制台界面显示的信息一致。SessionKey 也包含在这段解密后的数据中<\/strong>，为后续通信所用。<\/li> <\/ul> 阶段二：解密任务下发包 (C2 -> Agent)<\/strong><\/h5> 目标<\/strong>：解密 C2 服务器下发给 Agent 的指令。<\/p> 流量特征<\/strong>：在 Wireshark 或 mitmproxy 中，此包是 Server 对 Agent 心跳的 HTTP 响应包<\/strong>。其 HTTP Body 是一个 JSON，其中包含一个 data<\/code> 字段，值为长长的 Base64 字符串。<\/p> <\/li> 解密步骤<\/strong>：<\/p> Base64 解码 data<\/code> 字段的值，得到密文 C1<\/code>。<\/li> 使用监听器的静态 EncryptKey<\/code> 对 C1<\/code> 进行 RC4 解密<\/strong>，得到中间密文 C2<\/code>。C2<\/code> 实际上是使用 SessionKey<\/code> 加密后的任务数据。<\/li> 使用从阶段一获取的 SessionKey<\/code> 对 C2<\/code> 进行第二次 RC4 解密<\/strong>，得到最终的明文任务数据。<\/li> <\/ol> <\/li> 明文任务格式<\/strong>：解密后通常为二进制格式，可能包含指令类型（如 0x0001<\/code> 代表 shell<\/code>）、任务 ID 以及具体的命令（如 C:\Windows\System32\cmd.exe \/c whoami<\/code>）。明文数据周围常包含填充字符（如 0x00<\/code>）以规避简单的流量特征检测。<\/p> <\/li> <\/ul> 阶段三：解密结果回传包 (Agent -> C2)<\/strong><\/h5> 目标<\/strong>：解密 Agent 执行命令后返回给 C2 的结果数据。<\/p> 流量特征<\/strong>：通常是 Agent 发出的 HTTP POST 请求<\/strong>，请求体内包含加密的二进制数据。<\/li> 解密步骤<\/strong>：提取 HTTP 请求体（Raw Body）。<\/li> 使用监听器的静态 EncryptKey<\/code> 进行第一层 RC4 解密<\/strong>。<\/li> 使用 SessionKey<\/code> 对上述结果进行第二层 RC4 解密<\/strong>，得到命令执行输出的明文（如 desktop-123\user<\/code>）。<\/li> <\/ol> <\/li> <\/ul> 四、核心代码逻辑追溯<\/strong><\/h4> 理解代码调用链对深入分析至关重要：<\/p> 服务端任务打包<\/strong>：<\/p> 入口<\/strong>：AdaptixC2_main_v0.8\/AdaptixServer\/core\/server\/ts_agent.go<\/code> 中的 TsAgentGetHostedAll<\/code> 函数。它从数据库获取任务队列。<\/li> 调用<\/strong>：调用 ts.Extender.ExAgentPackData<\/code>（位于 AdaptixServer\/core\/extender\/ex_agent.go<\/code>）。<\/li> 路由<\/strong>：ExAgentPackData<\/code> 根据 Agent 类型，找到对应的 Agent 插件（如 agent_beacon<\/code>）。<\/li> 最终加密<\/strong>：插件中的 AgentPackData<\/code> 方法（位于 Extenders\/agent_beacon\/pl_main.go<\/code>）将任务数据序列化后，用 SessionKey<\/code> 加密，再交由监听器用 EncryptKey<\/code> 加密。<\/li> <\/ul> <\/li> 客户端加解密函数<\/strong>：<\/p> 在 Extenders\/agent_beacon\/pl_agent.go<\/code> 中定义了 AgentEncryptData<\/code> 和 AgentDecryptData<\/code> 函数，其内部就是标准的 RC4 算法操作，用于处理 SessionKey<\/code> 层的加解密。<\/li> <\/ul> <\/li> <\/ol> 五、总结与完整解密思路<\/strong><\/h4> AdaptixC2 (listener_beacon_http<\/code>) 的通信保密性通过两层加密实现：<\/p> 第一层（固定层）<\/strong>：使用监听器初始化时生成的 EncryptKey<\/code><\/strong>。用于加密初始心跳包和所有后续通信的外层<\/strong>。<\/li> 第二层（会话层）<\/strong>：每个 Agent 上线时在心跳包中携带的 SessionKey<\/code><\/strong>。用于加密内层<\/strong>的实际任务和结果数据。<\/li> <\/ol> 因此，完整的解密前提是<\/strong>：<\/p> 获取到 C2 Server 配置中或数据库中的静态 EncryptKey<\/code><\/strong>。<\/li> 成功解密第一个心跳包，并从明文中提取出 SessionKey<\/code><\/strong>。<\/li> <\/ul> 一旦同时拥有这两个密钥，即可完全解密该监听器下所有 Agent 的整个通信过程。这种分析手法对于深度威胁狩猎、C2 流量监控和恶意软件逆向工程具有重要价值。<\/p>