shad0w

Shad0W es un marco modular C2 diseñado para operar con éxito en entornos maduros.

Utiliza una gama de métodos para evadir EDR y AV, al tiempo que permite al operador continuar utilizando herramientas y artesanías con la que están familiarizados. Está impulsado por Python 3.8 y C, y usa donut para la generación de carga útil. Al usar Donut junto con las capacidades de inyección de proceso de Shad0W, proporciona al operador la capacidad de ejecutar ensamblajes .NET, DLLS, EXES, JS, VBS o XSLS completamente dentro de la memoria. Los SYSCalls resueltos dinámicamente se utilizan en gran medida para evitar el enganche API de Userland, la inyección anti DLL para dificultar que EDR cargue el código en las balizas y los métodos oficiales de mitigación de Microsoft para proteger los procesos de desove.

Consulte el wiki para las instrucciones de instalación y uso.

Características principales de Shad0W C2:

• Construido para Docker : se ejecuta completamente dentro de Docker que permite el uso de la plataforma cruzada
• Extremadamente modular : fácil de crear nuevos módulos para interactuar y las balizas de tareas
• Comunicación HTTPS C2 : todo el tráfico entre las balizas y el C2 se cifran y se transmiten a través de HTTPS
• Protocolo basado en JSON : las balizas personalizadas pueden construirse y usarse con un protocolo fácil de implementar
• Live Proxy and Mirror : el servidor C2 puede reflejar cualquier sitio web en tiempo real, transmitiendo todo el tráfico que no es C2 a ese sitio, lo que hace que parezca menos sujeto cuando se ve en un navegador web
• CLI moderno : la CLI está construida en Toolkit de inmediato

Características principales de Shad0W Beacons:

• Exe, PowerShell, ShellCode y más : las balizas se pueden generar y usar en muchos formatos diferentes
• Inyección de proceso : permite al operador dllinject , migrate , shinject y más
• Bypass AV : las cargas útiles se actualizan con frecuencia para evadir productos antivirus comunes
• Altamente configurable : nervios personalizados, agentes de usuarios y más
• HTTPS C2 Communication : el tráfico hacia y desde el C2 está encriptado a través de HTTPS
• Proxy consciente : todas las devoluciones de llamada pueden usar el proxy del sistema actual

Módulos de corriente:

• Elevate - exploits de privesc incorporados
• Ghost in the Logs - Desactive ETW y Sysmon, se puede encontrar más información aquí
• Ghostpack : binarios compilados todas las noches a través de una tubería azul. Gracias a @Flangvik
• Mimikatz - Para todas sus necesidades de robo de credenciales
• SharpCollection : una tonelada de herramientas ofensivas .NET, se puede encontrar más información aquí
• Sparksocks : proxy de calcetines inversos sobre https
• STDAPI : comandos comunes para interactuar con el sistema de archivos
• PowerShell no administrado : contiene Bypass construido en AMSI
• Cargar y descargar - Exfiltración de datos fáciles