Share
## https://sploitus.com/exploit?id=4FBAAAD8-EF12-5A26-AFF6-2ECF2C4AEB5B
# RedFramework

## Фреймворк для исследования методов постэксплуатации и обхода EDR

> **Дипломная работа**
> Тема: Исследование современных методов обхода систем защиты конечных точек

---

## Структура проекта

```
RedFramework/
├── server/                     # C2 Server
│   ├── api/                    # REST API (FastAPI)
│   ├── listeners/              # HTTP/DNS/SMB listeners
│   └── database/               # SQLite/PostgreSQL
│
├── agent/                      # Agents
│   ├── windows/                # Windows agent (C++)
│   ├── linux/                  # Linux agent (C)
│   └── loaders/                # Shellcode/DLL/PE loaders
│
├── modules/                    # Post-exploitation modules
│   ├── recon/                  # Reconnaissance
│   ├── privesc/                # Privilege escalation
│   ├── lateral/                # Lateral movement
│   ├── exfil/                  # Data exfiltration
│   └── persist/                # Persistence
│
├── exploits/                   # Exploit modules
│   ├── cve-2025-8088/          # WinRAR path traversal
│   └── delivery/               # Payload delivery methods
│
├── evasion/                    # EDR/AV evasion
│   ├── unhooking/              # ntdll unhooking
│   ├── syscalls/               # Direct syscalls
│   └── obfuscation/            # Code obfuscation
│
├── tools/                      # Standalone tools
│   ├── ad-scanner/             # AD security scanner
│   └── credential-dumper/      # Credential extraction
│
├── docs/                       # Documentation
└── config/                     # Configuration files
```

---

## Быстрый старт

### 1. Установка зависимостей

```bash
cd RedFramework
python -m venv venv
source venv/bin/activate  # Linux/Mac
pip install -r requirements.txt
```

### 2. Запуск C2 Server

```bash
# Генерация SSL сертификатов
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

# Запуск сервера
cd server/api
python main.py
```

### 3. AD Scanner

```bash
python tools/ad-scanner/scanner.py \
    -dc 192.168.1.10 \
    -d corp.local \
    -u admin \
    -p 'Password123' \
    -o report.html
```

### 4. CVE-2025-8088 Generator

```bash
python exploits/cve-2025-8088/generator.py \
    -p payload.exe \
    -t resume \
    -o malicious.rar
```

---

## Компоненты

### C2 Server

- **REST API**: FastAPI с аутентификацией
- **Listeners**: HTTP/HTTPS, DNS tunneling, SMB pipes
- **Database**: SQLite (dev) / PostgreSQL (prod)
- **Encryption**: AES-256-GCM для всех коммуникаций

### Agents

- **Windows**: C++ с Direct Syscalls
- **Linux**: C с минимальным footprint
- **Features**:
  - Sleep obfuscation
  - AMSI/ETW bypass
  - Process injection
  - Token manipulation

### Техники обхода EDR

| Техника | Описание | Статус |
|---------|----------|--------|
| Direct Syscalls | Обход userland hooks | ✅ |
| ntdll Unhooking | Восстановление оригинальной ntdll | ✅ |
| AMSI Bypass | Патчинг AmsiScanBuffer | ✅ |
| ETW Patching | Отключение ETW трассировки | ✅ |
| Module Stomping | Загрузка в легитимный модуль | 🔄 |
| Sleep Obfuscation | Шифрование во время sleep | 🔄 |

### AD Scanner (аналог PingCastle)

Проверки:
- Kerberoastable accounts
- AS-REP roastable accounts
- Unconstrained/Constrained delegation
- Dangerous ACLs
- ADCS vulnerabilities (ESC1-ESC8)
- Legacy protocols
- Privileged account analysis

---

## Тестовая среда

```
┌─────────────────────────────────────────────────────────┐
│                    VMware/VirtualBox                    │
│                                                         │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐     │
│  │   Kali      │  │  Windows    │  │  Windows    │     │
│  │  Attacker   │  │  Server DC  │  │  10 Client  │     │
│  └─────────────┘  └─────────────┘  └─────────────┘     │
│        │                │                │              │
│        └────────────────┴────────────────┘              │
│                    NAT Network                          │
└─────────────────────────────────────────────────────────┘
```

---

## Roadmap

- [x] Архитектура проекта
- [x] C2 Server (базовый)
- [x] AD Scanner
- [x] CVE-2025-8088 generator
- [ ] Windows Agent с evasion
- [ ] Web UI для оператора
- [ ] DNS Listener
- [ ] Модули латерального движения
- [ ] Тестирование против EDR

---

## Использованные источники

1. MITRE ATT&CK Framework
2. Red Team Operations (Raphael Mudge)
3. Windows Internals (Russinovich)
4. SysWhispers3 (klezVirus)
5. PingCastle (netwrix)
6. CVE-2025-8088 (NIST NVD)

---

## Disclaimer

**Данный проект создан исключительно для образовательных целей в рамках дипломной работы.**

Использование данного ПО против систем без явного письменного разрешения владельца является незаконным.

Автор не несёт ответственности за неправомерное использование.

---

*© 2026 | Дипломная работа*