文章总结： AdaptixC2isalightweightopen-sourceC2frameworkfeaturingmulti-protocolcommunication,advancedevasiontechniques,andBOFsupport.Analysisrevealedover100activeserversdeployedglobally,leveragingopendirectoriesforpayloadmanagement.DefendersshouldhuntforspecificHTTPheaderslikeServer:AdaptixC2,monitorport4321,andtrackuniqueSSLcertificateswhileimplementingnetworksegmentationandbehavioralendpointmonitoringtodetectitsstealthactivitiesandlateralmovementseffectively. 综合评分： 89 文章分类： 威胁情报,恶意软件,红队,安全运营,内网渗透

AdaptixC2 深度剖析：功能、战术与狩猎策略

aeverj

红队工坊

2025年12月23日 06:00 北京

翻译自 AdaptixC2 Uncovered: Capabilities, Tactics & Hunting Strategies

AdaptixC2 是一款命令与控制（Command-and-Control，简称 C2）框架，设计理念是简洁、灵活且易于定制。与那些庞大复杂的 C2 平台不同，它轻量化的特点让攻击者能更快速地部署，并灵活适应各种不同的网络环境。

这个框架采用模块化设计，意味着其功能可以被扩展或修改，而无需对整个系统进行重写。它支持 C2 工具应有的基础功能：在被攻陷的机器上执行命令、传输文件、注入进程、建立持久化访问以及收集系统信息。通信通常通过 HTTP 或 HTTPS 进行，这有助于使其流量与正常的网页浏览流量融为一体。

由于 AdaptixC2 是开源的，任何人都可以对其进行研究和修改——无论是研究人员、防御者，还是红队成员和攻击者。对于防御方而言，它是一个很好的例子，展示了那些定制化或不太知名的 [C2 框架]https://hunt.io/glossary/c2-frameworks-explained如何被用于规避检测。

图 1. AdaptixC2 图形界面客户端，展示操作员控制面板和会话概览。

核心要点

• 框架特性：AdaptixC2 证明了一个轻量级的开源 C2 框架同样可以拥有完整的功能，包括多协议通信、高级规避技术，以及通过 BOF（Beacon Object File，信标对象文件）执行系统实现的模块化扩展能力。
• 真实世界的部署规模：在多个国家和托管服务商发现了 102 台活跃服务器，这表明该框架已被广泛用于实际攻击行动，而非仅仅是研究或测试。攻击者正在利用合法的[云基础设施来掩护恶意活动]https://hunt.io/glossary/threat-hunting-in-the-cloud。
• 多协议威胁模型：信标（Beacon）支持 HTTP、SMB（Server Message Block，服务器消息块）和 TCP 协议，这创造了多种攻击向量，需要全面的网络监控才能应对，因为攻击者可以根据目标环境的限制切换通信方式。
• 检测难题：动态 API 解析、基于自定义哈希的查找机制以及 RC4 加密，使得传统的基于签名的检测方式几乎失效。可靠的识别需要依赖行为分析和网络模式识别。
• 作战安全特性：内置的终止日期（Kill Date）、工作时间限制以及可配置的休眠间隔等功能表明，即使是轻量级框架也整合了精心设计的作战安全措施，以实现长期潜伏。
• 横向移动能力：SMB 命名管道通信和多跳跳板（Pivoting）功能使每一台被感染的系统都可能成为更深层网络渗透的跳板。这使得网络隔离成为一项关键的防御措施。
• 开源情报价值：暴露的目录中包含部署脚本、配置文件和编译好的代理程序，这为了解攻击者的运作方式提供了宝贵的情报，有助于制定更有效的应对措施。

通过 AttackCapture™ 实现初始发现

[AttackCapture™]https://hunt.io/features/attackcapture 是 Hunt.io 开发的一套系统，用于发现和索引攻击者遗留在互联网上的开放目录。它收集这些目录，提取其中的文件，并按恶意软件家族、工具名称或已知行为进行标记。这帮助分析师将暴露的文件与活跃的攻击基础设施关联起来，了解不同的框架（例如 AdaptixC2）在真实攻击行动中的使用方式。

在我们针对 [AdaptixC2]https://app.hunt.io/attackcapture/listing?malware=AdaptixC2&sort_by=timestamp&sort_order=DESC&start_date=2025-08-20&end_date=2025-09-19&page=1&size=15 的研究中，第一步是按 AdaptixC2 标签筛选结果。这很快就揭示了与该框架相关的服务器。随后，我们将重点放在拥有开放目录的主机上，因为这些目录通常包含载荷（Payload）、配置文件或 [C2 Web 管理面板]https://hunt.io/blog/hunting-c2-panels-beginners-guide。

通过审查这些目录，我们对 AdaptixC2 的运作方式及其部署地点有了更清晰的认识。发现的结果指向分布在多个服务提供商和国家的服务器，包括哈萨克斯坦、爱尔兰和瑞士，常见端口包括 80、8000 和 14531。

图 2：使用 Hunt.io 的标签和开放目录进行 AdaptixC2 的狩猎

一些暴露的[开放目录]https://hunt.io/glossary/how-to-find-open-directories中的文件大小从几兆字节到超过 70MB 不等。这些文件通常包括载荷、配置文件或揭示服务器配置方式的控制页面。

在分析其中一台 AdaptixC2 服务器（[85.202.193[.]88]https://app.hunt.io/file-manager?host=http://85.202.193.88）时，我们发现了 .ssh/authorized_keys（可能是访问密钥）、Shell 历史记录（.bash_history、.history、nohup.out）以及记录过往命令和环境细节的配置文件。

我们还发现了部署痕迹，例如 Dockerfile、dist/ 目录、server.log 日志以及安装脚本（pre_install_linux_all.sh、pre_install_macos_client.sh），这些展示了该框架是如何被构建和运行的。

图 3：结合索引文件和元数据调查 AdaptixC2 结果。

暴露的目录还包含编译好的代理程序和日常使用的痕迹。用户和系统文件如 .bash_history、.bashrc、.profile、.wget-hsts 和 .sudo_as_admin_successful 揭示了主机的环境配置和过往活动。我们还发现了多个编译好的载荷（agent.x64.bin、agent.x86.dll/.exe、agent.smb.exe/.dll、agent_noheader.exe、svc_agent.*）以及编码后的形式（agent.base64、agent.hex）。

图 4：AdaptixC2 载荷，包括编译好的代理和编码后的变体。

调查与分析

通过对收集到的 AdaptixC2 文件和代码进行审查，我们发现了多个代理组件，揭示了该框架客户端的行为模式。分析重点聚焦于信标（Beacon）——这是负责在被感染系统上建立命令与控制通道的恶意软件。我们识别出七个关键能力领域，定义了 AdaptixC2 在真实攻击环境中的运作方式。

多协议通信

信标实现了三种不同的通信方式来建立与远程操作者的命令与控制通道。HTTP 方式使用标准的 Web 流量配合自定义头部和 URI，伪装成正常的浏览活动，同时支持多个备用服务器以实现冗余。

在内网渗透场景中，它会在被感染的机器之间创建 SMB 命名管道，让命令可以在被攻陷的系统间传递，而不产生任何外部流量。当 HTTP 流量被阻断时，TCP 选项则提供直接的套接字连接，在可配置的端口上监听，并采用自定义协议实现。

高级规避技术

该恶意软件通过在运行时使用自定义的基于哈希的查找机制动态解析 Windows 函数地址，从而避免静态 API 导入，这大大增加了基于签名检测的难度。它支持多种部署方式，包括独立可执行文件、Windows 服务、DLL（Dynamic Link Library，动态链接库）注入以及 Shellcode 执行，能够灵活绕过不同的安全控制和持久化机制。

图 5：API 哈希技术，通过哈希值进行运行时函数解析。

系统管理能力

信标通过一套丰富的命令集提供全面的远程管理能力，包括完整的文件系统操作，如目录列举、文件读取、复制和删除。它还提供进程管理功能，使攻击者能够列出正在运行的应用程序、终止进程、执行新程序，并完整捕获输出以实现交互式系统控制。

图 6：攻击者执行的命令及捕获的任务输出。

文件传输功能

该恶意软件实现了强大的文件传输功能，支持通过加密通道进行上传和下载。下载采用分块传输系统，将大文件分割成小块并支持断点续传，这有助于规避网络监控告警，同时确保即使在不稳定的连接上也能可靠地完成传输。

图 7：用于上传和下载的文件传输代码，采用分块机制。

网络与横向移动

信标包含精心设计的隧道和跳板功能，能将被感染的系统转变为代理服务器，以便更深入地渗透网络。它实现了 TCP 和 UDP 端口转发，通过被攻陷的机器路由流量，并支持多跳连接——命令可以经过多个被感染的系统传递，最终抵达无法直接与外部 [C2 服务器]https://hunt.io/glossary/command-and-control-server-c2通信的目标。

BOF 执行系统

该恶意软件具有信标对象文件（BOF）系统，允许在无需重新编译的情况下加载和执行额外的模块。这种模块化架构为加载的模块提供了完整的 API，用于系统交互、内存管理和输出处理，本质上创建了一个可执行任意代码和扩展功能的平台。

图 8：通过 BOF 扩展系统执行额外模块。

配置管理

信标包含多项作战安全特性，专为长期潜伏和隐蔽行动而设计。它支持设置终止日期（Kill Date）以实现自动终止，支持工作时间限制以融入正常的办公活动，还支持可配置的休眠间隔并加入随机抖动来规避网络监控。所有通信都使用 RC4 加密和会话专用密钥，以保护命令与控制流量不被分析。

图 9：长期持久化、休眠抖动和终止日期等特性。

基础设施发现与狩猎

在了解了信标的内部功能后，我们将焦点转向支撑它运行的基础设施。利用配置文件和 Hunt.io 的实时遥测数据，我们绘制了活跃的 AdaptixC2 服务器地图，并分析了它们在不同托管服务商间的运作方式。

配置文件发现

在调查过程中，我们发现了一份 AdaptixC2 团队服务器（Teamserver）的配置文件，提供了多条有价值的线索。该配置显示服务器监听在 0.0.0.0:4321，路径为 /endpoint，使用默认凭据，证书文件名为 server.rsa.crt 和 server.rsa.key，并列出了启用的扩展模块（HTTP、SMB、TCP、Gopher）。它还包含令牌有效期、自定义服务器头部、版本字符串（v0.8），以及各种回调模板，如新代理注册或文件下载。

图 10：AdaptixC2 服务器使用的 JSON 配置文件，展示端口和头部信息。

基础设施指纹识别

这些细节对于追踪基础设施非常有价值。端口和端点信息指导网络搜索，证书名称可以揭示暴露 Web 根目录中的文件位置，而头部信息或版本字符串则提供了一个指纹，用于关联多台主机。我们将这些指标导入 Hunt.io 的索引，并用它们在互联网上绘制相关的 AdaptixC2 服务器地图。

使用 HuntSQL™ 查询检测 AdaptixC2

我们注意到 HTTP 响应头中包含 Server: AdaptixC2，这是一个非常有用的指纹。由于该头部由服务器返回，我们可以从任何显示该头部的主机进行关联追踪：搜索 Web 服务器头部、代理/WAF 日志、被动 DNS 或服务扫描中的匹配项，并提取相关联的文件和连接日志。

在这个案例中，我们构造了一条 HuntSQL™ 查询，搜索 HTTP 头部中包含 %AdaptixC2% 字符串的记录，从而识别出响应中返回该值的服务器。

SELECT
  ip
FROM
  httpv2
WHERE
  http.headers.bytes.content LIKE '%AdaptixC2%'
  AND timestamp gt '2025-09-20'

                Copy

查询结果揭示了 56 台返回 Server: AdaptixC2 头部的活跃主机，确认了与该框架相关的活跃基础设施。其中多台服务器托管在知名云服务商上，表明攻击者依赖商业云环境来运行其 C2 操作。

图 11：SQL 查询返回的带有 AdaptixC2 头部的主机结果。

此查询返回与 AdaptixC2 模式匹配的主机，并可扩展用于证书或 JARM 关联，帮助发现具有共同基础设施特征的其他服务器。在这些结果的基础上，我们扩大了在 Hunt.io 数据集中的搜索范围，以识别更广泛的 AdaptixC2 活动并验证早期发现的模式。

自动化狩猎

在 Hunt.io 的 C2 遥测数据中按 AdaptixC2 标签筛选，发现了分布在多个托管服务商的 [102 台活跃服务器]https://app.hunt.io/c2/listing?sort_by=last_seen&sort_order=DESC&page=1&size=15&days=30&start_date=2025-09-06&end_date=2025-10-06。大多数托管在 Hivelocity、OVHcloud 和 Constant Company，表明攻击者依赖合法的云基础设施将其恶意活动隐藏在正常的商业流量中。统计数据来自 2025 年 8 月至 9 月期间 AttackCapture™ 和 HuntSQL™ 收集的结果。

端口分析确认 4321 是 AdaptixC2 团队服务器的默认监听端口，而 6869 和 53362 则出现在自定义配置或并行监听器中。这些发现印证了之前看到的配置数据，并为检测和阻断提供了可靠的起点。

图 12：通过 Hunt.io C2 列表进行 AdaptixC2 服务器的自动化狩猎。

在绘制完这些基础设施后，下一步是探索分析师如何在 Hunt.io 中进行关联追踪，以发现相关服务器、共享证书以及同一攻击者生态系统内更广泛的联系。

在 Hunt.io 中进行关联追踪

一旦分析师在 Hunt.io 中获得 AdaptixC2 基础设施列表，就可以直接从显示的字段进行关联追踪，以扩展调查范围并发现同一威胁行为者控制的相关基础设施。例如，通过从已识别的 IP 之一——[23.227.203[.]190]https://app.hunt.io/ip-detail/23.227.203.190——进行追踪，分析师可以查看服务提供商详情、风险评分和开放端口，了解这个 C2 节点如何融入更广泛的 AdaptixC2 网络。

图 13：IP 关联追踪揭示 ASN（Autonomous System Number，自治系统编号）、风险评分、开放端口和软件信息。

Info 标签页显示服务提供商详情、风险等级和开放端口。分析师可以确认主机是否活跃，查看 TLS 或 SSH 等服务，并检查 AdaptixC2 部署中常见的非标准端口（如 4321）。

Domains 标签页列出与该 IP 关联的主机名。这有助于发现攻击者可能用于重定向或管理的自动生成子域名或控制面板。

在 Associations 标签页中，Hunt.io 显示所有关联的 SSL 证书、密钥和配置文件。在多个 IP 间匹配相同的证书是关联由同一组织运营的多台 C2 服务器的最快方法之一。在这个示例中，在多个 Hivelocity IP 上发现了相同的证书指纹，确认了同一 AdaptixC2 集群内的共享基础设施。

图 14：Associations 标签页展示关联的 SSL 证书、密钥和配置。

Pivots 视图将这些发现整合在一起。它列出了可通过 HuntSQL™ 查询或扩展的哈希值、头部信息和 TLS 指纹。分析师可以按 SSL 指纹、头部哈希或 JARM 签名进行搜索，以发现具有相同特征的其他主机。这种关联追踪能力有助于清晰绘制攻击者如何分布和复用其 [C2 节点]https://hunt.io/glossary/c2-nodes的地图。

图 15：Pivots 标签页列出文件、哈希值、头部信息和 TLS 指纹。

时间线与 IOC 关联

时间线 / [IOC]https://hunt.io/glossary/indicators-of-compromise-iocs（Indicators of Compromise，失陷指标）视图帮助分析师了解 AdaptixC2 基础设施的演变过程。每个条形代表一个在活动中观察到的端口，以及关联的 JARM 或 SSL 指纹。通过悬停或缩放，分析师可以追踪 C2 服务器首次出现的时间、最后活跃的时间，以及在特定月份与之关联的加密指纹。

图 16：时间线 / IOC 视图展示端口、服务和指纹的演变。

在此示例中，端口 443、6579 和 43211 显示持续活动，其中 AdaptixC2 签名在 43211 端口上清晰可见。观察这种演进过程使威胁猎人能够确认持久性、配置的复用，以及共享相同 TLS 或 SSH 指纹的新服务器的上线情况。

利用这些关联追踪能力，Hunt.io 使分析师能够从单个 AdaptixC2 指标出发，构建起周围基础设施的完整图景，揭示活跃攻击活动背后的规模和关联关系。建立起这种可见性后，下一步是将这些发现转化为实际的检测和防御措施。

缓解策略

• 网络层防御：由于 AdaptixC2 依赖 RC4 加密的 C2 流量，并且通常在自定义端口（如 4321）上监听，深度包检测可以帮助识别异常的加密模式以及与其命令结构相关的 HTTP 头部。监控到非标准端口的连接以及重复出现的证书名称（如 server.rsa.crt）。实施网络隔离以遏制基于 SMB 的横向移动，并阻止非必要系统的出站通信。
• 主机层防护：AdaptixC2 的运行时 API 解析和进程注入技术可以规避静态检测，因此应重点关注端点监控，检测可疑的内存活动和未签名二进制文件的执行。建立关键应用程序的白名单，追踪 BOF 模块加载，并监控与持久化相关的意外服务安装或注册表修改。
• 检测与响应：AdaptixC2 操作者在其基础设施中复用独特的 HTTP 头部、端口组合和证书。围绕这些指标构建 SIEM（Security Information and Event Management，安全信息和事件管理）关联规则，并集成对隧道或多跳 C2 通信的行为检测。一旦发现，触发自动响应动作，隔离主机并采集取证数据以供事后分析。

总结

请在微信客户端打开

对 AdaptixC2 的分析揭示了一个精心设计却又轻量化的命令与控制框架，专为持久访问和隐蔽行动而打造。信标的多协议通信能力、高级规避技术和全面的系统管理功能，使其成为组织安全的重大威胁。该框架的模块化架构和 BOF 执行系统为攻击者提供了灵活性，使其能够根据特定环境和目标调整行动。

在多个国家和托管服务商发现活跃基础设施，证明了该框架在真实世界中的采用和实际部署。识别出的配置模式和网络签名为主动防御和威胁狩猎活动提供了宝贵的情报。各组织应优先实施建议的缓解策略，并监控所提供的指标，以有效检测和响应 AdaptixC2 活动。

如果你对网络安全、红队攻防技术充满热情，渴望学习更多实战技巧，例如渗透测试、自动化脚本编写、免杀技术等， 欢迎关注我的公众号

在这里，我会持续分享更多高质量的技术文章，与你一同探索网络安全的奥秘，提升实战技能！ 让我们一起在队攻防的道路上，不断精进，突破边界！

免责声明： 本文仅供安全技术研究与学习交流之用。 严禁将本文所提及的技术用于任何非法用途，包括但不限于未经授权的渗透测试、网络攻击、恶意代码传播等。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：红队工坊 aeverj《AdaptixC2 深度剖析：功能、战术与狩猎策略》