Sliver用 Tor ブリッジ(匿名 C2 トランスポート)

Security
Sliver用 Tor ブリッジ(匿名 C2 トランスポート)

Sliver用 Tor ブリッジ(匿名 C2 トランスポート)

Tor を利用して Sliver C2 サーバーの実 IP を秘匿するためのトランスポートブリッジです。リポジトリは Docker / docker-compose を用いて Tor の Hidden Service を作成し、ローカルの HTTP プロキシ(ポート 8080)を経由して Sliver の HTTPS リスナー(例:8443)へトラフィックを中継します。これにより、インプラント(エージェント)は .onion アドレス経由で接続し、指揮系統は通常どおり Sliver コンソールで行えます。環境の永続化やコンテナ化によりデプロイしやすく設計されています。

https://github.com/Otsmane-Ahmed/sliver-tor-bridge

概要

sliver-tor-bridge は Sliver C2 サーバーへ接続するインプラントとサーバー間の通信経路を Tor Hidden Service 経由に置き換える軽量なブリッジ実装です。リポジトリはコンテナ化(Docker / docker-compose)されており、Tor を使って .onion アドレスを公開し、ローカルで動く HTTP プロキシが受信したトラフィックを Sliver の HTTPS リスナー(通常はポート 8443)へ転送します。これにより、C2 サーバーの実 IP アドレスが隠蔽され、インプラントは匿名性の高い経路で接続できます。設定はシンプルで、Tor のデータをボリュームに保持すれば Hidden Service の鍵とアドレスを永続化できます。

GitHub

リポジトリの統計情報

  • スター数: 9
  • フォーク数: 1
  • ウォッチャー数: 9
  • コミット数: 4
  • ファイル数: 9
  • メインの言語: Python

主な特徴

  • Tor Hidden Service を用いた .onion 経由の C2 トランスポートを提供
  • ローカル HTTP プロキシ(ポート 8080)で受け、Sliver の HTTPS リスナー(例:8443)へ転送
  • Docker / docker-compose によるコンテナ化で簡単にデプロイ可能
  • Tor データを永続化して Hidden Service の鍵・アドレスを保持

技術的なポイント

sliver-tor-bridge のコア設計は単純かつ実用的です。Tor の Hidden Service 機能を利用して外部に .onion アドレスを公開し、その受け口(HiddenServicePort)はコンテナ内のローカル HTTP プロキシへ向けられます。プロキシは受信したリクエストを Sliver サーバーの HTTPS リスナー(README で示されている例では 8443)へフォワードするため、Sliver 側は通常どおり HTTPS で通信を扱えます。構成の利点は次のとおりです。

  • 匿名化レイヤー: Tor がネットワークレベルの経路と暗号化を提供するため、C2 サーバーの実 IP を直接公開せずにインプラントと通信できる点。Tor の回線でエンドポイント間の経路は秘匿されます。
  • 永続性: Docker ボリュームに Tor のデータディレクトリをマウントしておけば、Hidden Service の秘密鍵と生成済み .onion ホスト名を再利用でき、再起動後も同一のアドレスを維持できます。
  • コンテナ単位での分離: Tor プロセスとプロキシをコンテナで分離して動作させることで、運用や更新、ログ管理が容易になります(docker-compose で連携)。
  • 運用上の注意: Tor は経路の匿名化を提供するが、アプリケーションレベルのメタデータ(接続間隔やトラフィックパターン)による識別や、Subprotocol の特性で検出されうる点に留意が必要です。HTTPS による上位層の暗号化を維持することで通信の機密性を保てますが、インプラントとサーバーの双方で適切な証明書管理や認証を行うことが望ましいです。

実装面では、docker-compose.yml が Tor とプロキシ(および必要ならば他のユーティリティ)を定義し、Dockerfile で実行環境を構築する設計になっています。Tor の設定は通常 torrc の HiddenServiceDir と HiddenServicePort エントリを用いて行い、HiddenServiceDir をホスト側ボリュームにマウントして鍵を保持します。プロキシは HTTP レイヤで受けて HTTPS へ転送するか、TCP レベルで単純なリバースプロキシとして動作する構成が考えられます。ネットワーク構成としては、Sliver サーバーはローカルネットワークかホストの 8443 をリッスンし、プロキシは 8080 をリッスンして Tor と接続します。

最後に、法的・倫理的観点の注意。C2 フレームワークや匿名化技術は侵害活動に悪用される可能性があり、許可された試験環境や研究目的に限定して利用してください。運用時はログの保護、アクセス制御、最新の Tor・Sliver バージョンを維持することが重要です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitignore: file
  • Dockerfile: file
  • LICENSE: file
  • README.md: file
  • docker-compose.yml: file

…他 4 ファイル

まとめ

Tor の Hidden Service を使い Sliver の C2 トラフィックを匿名化する実用的でコンテナ化されたブリッジ実装です。

リポジトリ情報:

READMEの抜粋:

sliver-tor-bridge

tor-based transport bridge for sliver c2. creates a hidden service and proxies traffic to your sliver server so your real ip is never exposed.

what it does

sets up a tor hidden service that points to a local http proxy. the proxy forwards everything to sliver’s https listener. implants connect through tor, you control them through sliver normally.

sliver server <---> proxy <---> tor hidden service <---> implant
   :8443           :8080          xyz.onion           ...