AdaptixC2 Gopher TCP 通信机制与 mTLS 流量解密分析<\/h1>

1. 概述<\/h2>
AdaptixC2 是一个命令与控制（C2）框架，支持多种通信协议。本文重点分析其 Gopher TCP 监听器（listener_gopher_tcp）的通信机制，并详细介绍如何解密其 mTLS（双向 TLS）加密流量。<\/p>

2. Agent 类型与特性<\/h2>

AdaptixC2 提供多种 Agent 类型，各有不同特性和用途：<\/p>

Agent 类型<\/th> 通信协议<\/th> 主要功能<\/th> 适用操作系统<\/th> <\/tr> <\/thead>

Beacon HTTP<\/td> HTTP\/S<\/td> 文件浏览、进程浏览、SOCKS代理、端口转发<\/td> Windows<\/td> <\/tr>

Beacon SMB<\/td> SMB<\/td> 内网横向移动、点对点通信<\/td> Windows<\/td> <\/tr>

Beacon TCP<\/td> TCP<\/td> 特定网络环境下的隐蔽通信（异步\/心跳模式）<\/td> Windows<\/td> <\/tr>

Gopher TCP<\/td>

TCP<\/td>

文件浏览、进程浏览、截图、SOCKS代理、远程终端、BOF<\/td>

Windows, Linux, macOS<\/td> <\/tr> <\/tbody> <\/table>

典型攻击链<\/strong>：通过 Gopher 钓鱼批量上线不同操作系统机器，然后使用 Beacon 进行横向移动和长期潜伏。<\/p>

3. mTLS 双向认证机制<\/h2>
3.1 标准 TLS vs mTLS<\/h3>

特性<\/th> 标准 TLS (单向认证)<\/th> mTLS (双向认证)<\/th> <\/tr> <\/thead>

核心目标<\/strong><\/td> 确保通信加密，验证服务器真实性<\/td> 确保通信加密，相互验证客户端和服务器<\/td> <\/tr>
认证方向<\/strong><\/td> 单向：仅客户端验证服务器<\/td> 双向：客户端和服务器相互验证<\/td> <\/tr>
证书需求<\/strong><\/td> 服务器需要证书<\/td> 服务器和客户端都需要证书<\/td> <\/tr>
工作流程<\/strong><\/td> 1. 客户端连接服务器2. 服务器出示证书3. 客户端验证证书4. 建立加密通道<\/td> 1. 客户端连接服务器2. 服务器出示证书3. 客户端验证服务器证书4. 服务器请求并验证客户端证书5. 双方验证完成，建立加密通道<\/td> <\/tr> <\/tbody> <\/table>
3.2 AdaptixC2 的 mTLS 实现<\/h3>
在 AdaptixC2 中：<\/p>

客户端私钥 (client.key)、客户端证书 (client.cert)、CA 证书 (ca.cert) 会被 Base64 编码后打包到 Agent 配置文件中<\/li>
Agent 使用这些凭证与 C2 服务器建立 mTLS 连接<\/li>
使用 TLS_AES_128_GCM_SHA256 密码套件 (0x1301)，支持前向保密<\/li> <\/ul>
4. 流量解密分析方法<\/h2>
4.1 所需工具<\/h3>

AdaptixC2 Server 端与 Agent 端<\/strong>（需自备源码）<\/li>
IDE<\/strong>：用于代码分析和调试<\/li>
Wireshark<\/strong>：网络流量捕获和分析<\/li>
mitmproxy<\/strong>：中间人代理工具<\/li>
Ghidra<\/strong>：二进制逆向分析工具<\/li>
Proxifier<\/strong>：流量重定向工具（必须使用安装版，非便携版）<\/li> <\/ol>
4.2 解密流程<\/h3>
步骤 1: 劫持 Agent 流量通过 mitmproxy<\/h4>

配置 Proxifier<\/strong>：<\/p>

新建 Proxy Server：地址填本机，端口填 mitmproxy 端口，类型选 HTTPS<\/li>
创建规则让 agent.exe 走该代理<\/li>
关键<\/strong>：必须勾选"Resolve hostnames through proxy"和"Bypass proxy for local addresses"<\/li> <\/ul> <\/li>

启动 mitmproxy<\/strong>：<\/p>

默认会显示 "TLSv1.3 alert certificate required" 错误<\/li>
这是正常的，因为 mTLS 要求客户端提供证书<\/li> <\/ul> <\/li> <\/ol>
步骤 2: 从 Agent 提取证书和密钥配置<\/h4>

Ghidra 分析 Agent 二进制文件<\/strong>：<\/p>

使用 GolangAnalyzerExtension 辅助分析<\/li>
定位到 main.main<\/code> 函数<\/li>
回溯找到配置数据存储的全局变量（通常为 DAT_xxx<\/code> 或 PTR_DAT_xxx<\/code>）<\/li> <\/ul> <\/li>
提取加密配置块<\/strong>：<\/p> 找到存储配置数据的地址（如 DAT_00955620<\/code>）<\/li> 确认数据长度（如 0x0F81 = 3969 字节）<\/li> 以 "Byte String (No Spaces)" 格式复制完整数据块<\/li> <\/ul> <\/li> Python 脚本解析配置<\/strong>：<\/p> # 读取并解析配置数据的示例代码框架<\/span> <\/span><\/span>with<\/span> open('data.txt'<\/span>, 'r'<\/span>) as<\/span> f: <\/span><\/span> encrypted_data =<\/span> bytes.<\/span>fromhex(f.<\/span>read().<\/span>strip()) <\/span><\/span> <\/span><\/span># 前16字节为Listener Key<\/span> <\/span><\/span>listener_key =<\/span> encrypted_data[:16<\/span>] <\/span><\/span># 剩余部分为加密的配置信息<\/span> <\/span><\/span>encrypted_config =<\/span> encrypted_data[16<\/span>:] <\/span><\/span> <\/span><\/span># 使用AES-GCM解密配置<\/span> <\/span><\/span># 需要实现解密逻辑，参考AgentDecryptData函数<\/span> <\/span><\/span><\/code><\/pre><\/li> 提取证书文件<\/strong>：<\/p> 从解密后的配置中提取 client.key、client.cert 和 ca.cert<\/li> 合并为 client_x.pem 文件供 mitmproxy 使用<\/li> <\/ul> <\/li> <\/ol> 步骤 3: 配置 mitmproxy 使用提取的证书<\/h4> 将提取的证书配置给 mitmproxy<\/li> 重新运行 Agent，此时 mitmproxy 应能成功拦截和解密流量<\/li> <\/ol> 4.3 通信协议分析<\/h3> Agent 上线流程：<\/h4> Agent 启动后从内存中读取加密配置块（3969 字节）<\/li> 读取前16字节作为 Listener Key<\/li> 使用 Listener Key 解密剩余部分，获取 C2 地址、端口等配置信息<\/li> Agent 准备上线信息（主机名、用户名、IP 地址等）<\/li> 生成新的会话密钥 (Session Key)<\/li> 将上线信息打包为 INIT_PACK<\/li> 使用 Listener Key 和 AES-GCM 加密 INIT_PACK 并发送给服务器<\/li> 后续通信使用 Session Key 进行加解密<\/li> <\/ol> 数据包结构：<\/h4> 上线包采用三层嵌套的 Msgpack 结构：<\/p> 外层：加密的配置信息<\/li> 中层：Agent 元数据信息<\/li> 内层：具体的任务指令和结果<\/li> <\/ol> 4.4 加密函数分析<\/h3> AgentEncryptData<\/strong>: 加密函数，使用 AES-GCM 算法<\/li> AgentDecryptData<\/strong>: 解密函数，执行逆操作<\/li> 加密流程<\/strong>：获取明文数据<\/li> 使用派生的会话密钥作为 AES-128 密钥<\/li> 生成唯一随机数 (Nonce)<\/li> 将密钥、Nonce 和明文输入 AES-GCM 加密器<\/li> 输出密文和认证标签<\/li> 打包成 TLS 记录通过 TCP 发送<\/li> <\/ol> <\/li> <\/ul> 5. 技术难点与解决方案<\/h2> 难点 1: 证书验证绕过<\/h3> 问题<\/strong>：Agent 内置 CA 证书，会验证服务器证书合法性解决方案<\/strong>：由于 Agent 配置中 InsecureSkipVerify: true<\/code>，实际上禁用所有证书验证<\/p> 难点 2: 函数定位困难<\/h3> 问题<\/strong>：Go 编译时使用 -s<\/code>（移除符号表）和 -w<\/code>（移除调试信息）解决方案<\/strong>：使用 Ghidra 进行静态分析，通过特征码定位关键函数<\/p> 难点 3: 配置提取复杂<\/h3> 问题<\/strong>：配置数据经过加密和编码处理解决方案<\/strong>：通过分析二进制文件找到原始配置块，实现解密算法提取原始配置<\/p> 6. 防护建议<\/h2> 网络监控<\/strong>：检测异常的 mTLS 连接和证书使用模式<\/li> 证书审计<\/strong>：监控异常证书的生成和使用<\/li> 行为分析<\/strong>：检测类似 Gopher TCP 的长连接行为<\/li> 二进制加固<\/strong>：对关键组件进行混淆和加固，增加分析难度<\/li> <\/ol> 7. 总结<\/h2> AdaptixC2 的 Gopher TCP 监听器采用 mTLS 双向认证和自定义加密方案，提供了较强的隐蔽性。通过深入分析其通信机制和加解密流程，可以成功拦截和解密其流量，为检测和防御提供技术支持。关键点包括正确配置流量重定向、从二进制文件中提取加密配置、理解其多层加密协议结构。<\/p> 本文基于对 AdaptixC2 框架的技术分析，仅用于安全研究和防御目的。<\/em><\/p>

AdaptixC2 Gopher TCP 通信机制与 mTLS 流量解密分析<\/h1>

1. 概述<\/h2> AdaptixC2 是一个命令与控制（C2）框架，支持多种通信协议。本文重点分析其 Gopher TCP 监听器（listener_gopher_tcp）的通信机制，并详细介绍如何解密其 mTLS（双向 TLS）加密流量。<\/p>

4. 流量解密分析方法<\/h2>

4.2 解密流程<\/h3>

4.3 通信协议分析<\/h3>

5. 技术难点与解决方案<\/h2>

难点 1: 证书验证绕过<\/h3> 问题<\/strong>：Agent 内置 CA 证书，会验证服务器证书合法性 解决方案<\/strong>：由于 Agent 配置中 InsecureSkipVerify: true<\/code>，实际上禁用所有证书验证<\/p>

1. 概述<\/h2>
AdaptixC2 是一个命令与控制（C2）框架，支持多种通信协议。本文重点分析其 Gopher TCP 监听器（listener_gopher_tcp）的通信机制，并详细介绍如何解密其 mTLS（双向 TLS）加密流量。<\/p>

难点 1: 证书验证绕过<\/h3>
问题<\/strong>：Agent 内置 CA 证书，会验证服务器证书合法性
解决方案<\/strong>：由于 Agent 配置中 `InsecureSkipVerify: true<\/code>，实际上禁用所有证书验证<\/p>`