shad0w

Shad0w ist ein modulares C2 -Framework, das erfolgreich in ausgereiften Umgebungen arbeitet.

Es verwendet eine Reihe von Methoden, um EDR und AV zu entgehen und gleichzeitig den Bediener weiterhin Tooling und Tradecraft zu verwenden, mit denen er vertraut ist. Es wird von Python 3.8 und C angetrieben und verwendet Donut für die Nutzlastgenerierung. Durch die Verwendung von Donut zusammen mit den Prozesseinspritzfunktionen von Shad0W bietet es dem Bediener die Möglichkeit, .NET -Baugruppen, DLLs, EXES, JS, VBS oder XSLS vollständig im Speicher auszuführen. Dynamisch aufgelöste Syscalls werden stark verwendet, um die Userland -API -Hooking, die Anti -DLL -Injektion zu vermeiden, um EDR zu erschweren, Code in die Beacons und offiziellen Microsoft -Minderungsmethoden zum Schutz von Spawn -Prozessen zu laden.

Sehen Sie sich das Wiki für Installations- und Nutzungsanweisungen an.

Hauptmerkmale von Shad0w C2:

• Für Docker gebaut - läuft vollständig in Docker und ermöglicht die Nutzung der Cross -Plattform
• Extrem modular - einfach zu erstellen neue Module für die Interaktion und Aufgabe Beacons
• HTTPS C2 -Kommunikation - Der gesamte Verkehr zwischen Beacons und C2 wird verschlüsselt und über HTTPS übertragen
• JSON -basiertes Protokoll - Benutzerdefinierte Beacons können mit einem einfach zu implementierenden Protokoll erstellt und verwendet werden
• Live -Proxy und Mirror - Der C2 -Server kann jede Website in Echtzeit widerspiegeln und alle Nicht -C2
• Moderne CLI - Die CLI ist auf einem schnellen Toolkit aufgebaut

Hauptmerkmale von Shad0w Beacons:

• Exe, PowerShell, Shellcode und mehr - Beacons können in vielen verschiedenen Formaten erzeugt und verwendet werden
• Prozesseinspritzung - Ermöglicht dem Bediener dllinject , migrate , shinject und mehr
• Bypass AV - Nutzlasten werden häufig aktualisiert, um gemeinsame Antivirenprodukte zu entgehen
• Hochkonfigurierbar - benutzerdefinierte Jitter, Benutzeragenten und mehr
• HTTPS C2 -Kommunikation - Der Verkehr zum und vom C2 wird über HTTPS verschlüsselt
• Proxy AWAUE - Alle Rückrufe können den aktuellen Systemproxy verwenden

Aktuelle Module:

• Elevate - eingebaut in Privesc Exploits
• Ghost in den Protokollen - Deaktivieren Sie ETW & Sysmon, hier finden Sie weitere Informationen
• Ghostpack - Binärdateien über eine Azure -Pipeline zusammengestellt. Vielen Dank an @flangvik
• Mimikatz - für alle Ihre Anmeldendiebstände
• SharpCollection - Eine Menge .net -Offensiv -Tools, hier finden Sie weitere Informationen
• Sharpsocks - Reverse Socks Proxy gegenüber HTTPS
• STDAPI - Gemeinsame Befehle zur Interaktion mit dem Dateisystem
• Nicht verwalteter PowerShell - enthält eingebaute in AMSI -Bypass
• Hochladen und Download - einfache Datenpeelung