shad0w

Shad0w est un cadre C2 modulaire conçu pour fonctionner avec succès sur des environnements matures.

Il utilise une gamme de méthodes pour échapper à EDR et AV tout en permettant à l'opérateur de continuer à utiliser des outils et des métiers qu'ils connaissent. Il est alimenté par Python 3.8 et C, et utilise des beignets pour la génération de charge utile. En utilisant Donut ainsi que les capacités d'injection de processus de Shad0w, il offre à l'opérateur la possibilité d'exécuter des assemblages .NET, DLL, ex, JS, VBS ou XSLS entièrement dans la mémoire. Les systèmes résolus dynamiquement sont fortement utilisés pour éviter l'injection d'accrochage de l'API de l'utilisateur, l'injection anti-DLL pour rendre l'EDR plus difficile à charger le code dans les balises et les méthodes officielles d'atténuation de Microsoft pour protéger les processus d'apparition.

Voir le wiki pour les instructions d'installation et d'utilisation.

Caractéristiques principales de Shad0w C2:

• Construit pour Docker - s'exécute entièrement à l'intérieur de Docker permettant une utilisation transformatrice
• Extrêmement modulaire - Facile à créer de nouveaux modules pour interagir et les balises de tâche
• HTTPS C2 Communication - Tout le trafic entre les balises et le C2 est chiffré et transmis sur HTTPS
• Protocole basé sur JSON - Les balises personnalisées peuvent être construites et utilisées avec un protocole facile à implémenter
• Proxy et miroir en direct - Le serveur C2 est capable de refléter n'importe quel site Web en temps réel, en relayant tout le trafic non C2 vers ce site, ce qui le rend moins sujet lorsqu'il est consulté dans un navigateur Web
• CLI moderne - La CLI est construite sur un outil de tabouret rapide

Caractéristiques principales des balises Shad0w:

• Exe, powershell, shellcode et plus - des balises peuvent être générées et utilisées dans de nombreux formats différents
• Injection de processus - Permet à l'opérateur de dllinject , migrate , shinject et plus
• Contournement AV - Les charges utiles sont fréquemment mises à jour pour échapper aux produits antivirus communs
• Très configurable - agitation personnalisée, agents utilisateur et plus
• HTTPS C2 Communication - Le trafic vers et depuis le C2 est chiffré via HTTPS
• Proxy conscient - tous les rappels peuvent utiliser le proxy système actuel

Modules actuels:

• Elevate - Construit dans les exploits PRIVESC
• Ghost in the Logs - Désactiver Etw & Sysmon, plus d'informations peuvent être trouvées ici
• Ghostpack - Binaires compilés tous les soirs via un pipeline Azure. Merci à @flangvik
• Mimikatz - Pour tous vos besoins de vol d'identification
• Sharpcollection - une tonne d'outils offensants .NET, plus d'informations peuvent être trouvées ici
• Sharpsocks - proxy de chaussettes inversées sur HTTPS
• STDAPI - Commandes communes pour interagir avec le système de fichiers
• PowerShell non géré - contient du contournement AMSI intégré
• Télécharger et télécharger - Exfiltration de données faciles