导语:C2 服务器是网络攻击的核心枢纽,但传统检测手段往往只能被动等待告警。c2detect 通过 TLS 指纹、HTTP 响应模式、JARM 签名等多维特征,主动识别内网中的 Cobalt Strike、Sliver、Mythic 等主流 C2 框架,让蓝队工作从被动响应转向主动狩猎。
工具背景
c2detect 由安全研究团队 cognis-digital 开发并开源,定位为红蓝对抗与威胁狩猎场景下的 C2 服务器指纹识别工具。项目灵感源自 Salesforce 的 JARM 项目,但在此基础上扩展了更多检测维度和框架支持。
该工具无需搭建重量级基础设施,单次命令即可完成目标指纹扫描,结果直接输出为表格、JSON 或 SARIF 格式,天然集成到 CI/CD 流水线或 AI Agent 工作流中。
核心能力
c2detect mcp),支持 Claude Desktop、Cursor 等 AI助手直接调用截图展示
安装方式
# pip 安装(推荐)
pip install cognis-c2detect
pipx隔离 CLI
pipx install "git+https://github.com/cognis-digital/c2detect.git"
uv 安装
uv tool install "git+https://github.com/cognis-digital/c2detect.git"
Docker 方式
docker run --rm ghcr.io/cognis-digital/c2detect:latest --help
Homebrew(macOS/Linux)
brew install cognis-digital/tap/c2detect
一键安装脚本
curl -fsSL https://raw.githubusercontent.com/cognis-digital/c2detect/main/install.sh | sh
快速使用
# 查看版本
c2detect --version
扫描当前目录(默认表格输出)
c2detect scan .
输出 JSON 格式(供其他工具消费)
c2detect scan . --format json
CI门禁模式:发现 HIGH 级别风险则非零退出
c2detect scan . --fail-on high
启动 MCP 服务(供 AI Agent 调用)
c2detect mcp
系统要求
| 项目 | 要求 | |——|——| | Python 版本 | 3.8+ | | 支持系统 | Linux / macOS / Windows | | 容器化 | Docker | | 硬件要求 | 极低,单命令即可运行 |
版权声明
c2detect 采用 COCL(Cognis Open Collaboration License) 开源许可——个人、内部评估、研究和教育用途免费使用;商业/生产环境使用需付费授权。
下载 c2detect
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
