shad0w

Shad0W هو إطار C2 وحدات مصمم للعمل بنجاح على البيئات الناضجة.

يستخدم مجموعة من الطرق للتهرب من EDR و AV مع السماح للمشغل بمواصلة استخدام الأدوات والتجارة التي يعرفونها. مدعوم من Python 3.8 و C ، ويستخدم الكعك لتوليد الحمولة النافعة. باستخدام دونات جنبًا إلى جنب مع إمكانات حقن العملية في Shad0W ، فإنه يوفر للمشغل القدرة على تنفيذ مجموعات .NET ، DLLs ، Exes ، JS ، VBS أو XSLs داخل الذاكرة بالكامل. يتم استخدام syscalls التي تم حلها ديناميكيًا بشكل كبير لتجنب تثبيت API API المستخدم ، وحقن مضاد DLL لجعل من الصعب على EDR تحميل التعليمات البرمجية في المنارات وطرق تخفيف Microsoft الرسمية لحماية عمليات تفرخ.

انظر الويكي لتركيبات التثبيت والاستخدام.

الميزات الرئيسية لـ Shad0W C2:

• تم تصميمه لـ Docker - يعمل بالكامل داخل Docker مما يتيح استخدام منصة العرض
• وحدات للغاية - من السهل إنشاء وحدات جديدة للتفاعل والمنارات المهمة
• اتصال HTTPS C2 - يتم تشفير جميع حركة المرور بين المنارات و C2 ونقلها عبر HTTPS
• بروتوكول قائم على JSON - منارات مخصصة يمكن بناءها واستخدامها مع بروتوكول سهل التنفيذ
• Live Proxy and Mirror - خادم C2 قادر على عكس أي موقع ويب في الوقت الفعلي ، ويقوم بنقل جميع حركة المرور غير C2 إلى هذا الموقع ، مما يجعله يبدو أقل موضوعًا عند عرضه في متصفح الويب
• CLI الحديثة - تم بناء CLI على TOOLKIT

الميزات الرئيسية للمنارات Shad0W:

• Exe و PowerShell و Shellcode والمزيد - يمكن إنشاء منارات واستخدامها في العديد من التنسيقات المختلفة
• حقن العملية - يتيح للمشغل أن dllinject ، migrate ، shinject والمزيد
• غالبًا ما يتم تحديث الحمولات النافعة للتهرب من منتجات مكافحة الفيروسات المشتركة
• قابلة للتكوين للغاية - التوتر المخصص ووكلاء المستخدمين والمزيد
• HTTPS C2 اتصال - يتم تشفير حركة المرور من وإلى C2 عبر HTTPS
• Proxy Aware - يمكن لجميع عمليات الاسترجاعات استخدام وكيل النظام الحالي

الوحدات الحالية:

• ارتفاع - بنيت في مآثر privesc
• Ghost in the Logs - تعطيل ETW & Sysmon ، يمكن العثور على مزيد من المعلومات هنا
• Ghostpack - تم تجميع الثنائيات الليلية عبر خط أنابيب Azure. بفضل @فلانجفيك
• Mimikatz - لجميع احتياجات سرقة بياناتك
• SharpCollection - طن من أدوات الهجوم .NET ، يمكن العثور على مزيد من المعلومات هنا
• Sharpsocks - عكس الوكيل الجوارب عبر https
• stdapi - أوامر مشتركة للتفاعل مع نظام الملفات
• PowerShell غير المدير - يحتوي على بني في AMSI الالتفافية
• تحميل وتنزيل - سهلة البيانات exfiltration