文章总结： 文章系统梳理了Mythic后渗透框架的架构与攻击流程，指出其基于Docker、Python编写，支持多协议C2、枢轴攻击、数据收集与外泄，并强调检测关键在于网络流量中Base64编码UUID特征，需针对各协议单独制定签名。 综合评分： 92 文章分类： 红队,内网渗透,威胁情报,漏洞分析,渗透测试

Mythic 后渗透框架分析

原创

ZM ZM

暗镜

2026年1月19日 20:25 北京

威胁行为者经常在网络攻击中使用后渗透框架，以维持对受感染主机的控制，并在组织网络中横向移动。虽然他们过去偏爱闭源框架，例如 Cobalt Strike 和 Brute Ratel C4，但近年来，Mythic、Sliver 和 Havoc 等开源项目迅速崛起。恶意行为者也乐于采用相对较新的框架，例如 Adaptix C2。

对常用框架的分析表明，它们的开发重点在于规避反病毒和EDR解决方案的检测，而往往牺牲了对网络流量分析系统的隐蔽性。虽然混淆代理的网络活动本身就极具挑战性，但代理不可避免地需要与其命令控制服务器通信。因此，借助各种基于网络的入侵检测系统（IDS）以及网络检测与响应（NDR）解决方案，仍然可以检测到代理在系统中的存在及其恶意行为。

本文探讨了通过分析网络流量来检测基础设施中 Mythic 框架的方法。该框架已在包括 Mythic Likho（Arcane Wolf）和 GOFFEE（Paper Werewolf）在内的多个威胁组织中得到广泛应用，并持续被用于高级持续性威胁 (APT) 和其他攻击中。

Mythic是一个多用户命令与控制 (C&C 或 C2) 平台，专为在复杂的网络攻击中管理恶意代理而设计。Mythic 基于 Docker 容器架构构建，其核心组件——服务器、代理和传输模块——均采用 Python 编写。这种架构允许运维人员随时添加新的代理、通信通道和自定义修改。

由于 Mythic 对于攻击者来说是一个多功能的工具，从防御者的角度来看，它的使用可以与统一杀伤链的多个阶段以及 MITRE ATT&CK® 框架中的大量战术、技术和程序相一致。

• 枢轴攻击是一种攻击者利用已被攻陷的系统作为枢纽，进而访问网络中其他系统的策略。通过这种方式，他们逐步扩大自身在组织基础设施中的影响力，绕过防火墙、网络分段和其他安全控制措施。
• 数据收集（TA0009）是一种专注于收集和聚合对攻击者有价值的信息的策略，例如文件、凭证、屏幕截图和系统日志。在网络攻击中，数据收集通常在受感染主机上本地执行，然后将数据打包传输。Mythic 等工具可以自动发现和选择攻击者所需的数据。
• 数据外泄（TA0010）是指通过合法或隐蔽的渠道（例如 HTTP(s)、DNS 或 SMB 等）将收集到的信息从安全网络中转移出去的过程。攻击者可能会使用驻留代理或中间中继（枢纽主机）来隐藏数据外泄的来源和路由。
• 命令与控制（TA0011）涵盖了在操作员和受控主机之间建立和维护通信通道以传输命令和接收状态更新的机制。这包括直接连接、通过枢纽主机进行中继以及使用隐蔽协议。像 Mythic 这样的框架提供了高级 C2 功能，例如计划命令执行、隧道技术和多通道通信，这使得检测和阻止其活动变得更加复杂。

Mythic 后渗透框架持续发展壮大，并迅速演变。新的代理程序不断涌现，旨在隐蔽地在目标基础设施中持久存在。尽管如此，Mythic 中各种网络通信实现方式仍具有许多共同特征，这些特征在时间上基本保持一致。这种一致性使得入侵检测/网络检测解决方案能够通过网络流量分析有效地检测出该框架的代理活动。

Mythic 支持多种代理管理选项，并利用多种网络协议。我们对这些协议下的代理通信进行分析后发现，可以通过搜索网络流量中的特定数据模式来检测代理活动。主要的检测标准是跟踪 Base64 编码传输数据中特定位置的 UUID 字符串。然而，尽管不同协议的代理活动检测方法大同小异，但每种协议都需要特定的过滤器。因此，创建用于检测网络流量中 Mythic 代理的通用签名极具挑战性；必须针对每种协议制定单独的检测规则。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Mythic 后渗透框架分析》