shad0w

Shad0W adalah kerangka kerja C2 modular yang dirancang untuk berhasil beroperasi di lingkungan yang matang.

Ini menggunakan berbagai metode untuk menghindari EDR dan AV sambil memungkinkan operator untuk terus menggunakan alat dan tradecraft yang mereka kenal. Didukung oleh Python 3.8 dan C, dan menggunakan donat untuk pembuatan muatan. Dengan menggunakan donat bersama dengan kemampuan injeksi proses shad0W, memberikan operator kemampuan untuk menjalankan rakitan .NET, DLL, EXE, JS, VBS atau XSL sepenuhnya di dalam memori. Syscall yang diselesaikan secara dinamis sangat digunakan untuk menghindari pengait API Userland, injeksi anti DLL untuk mempersulit EDR untuk memuat kode ke suar dan metode mitigasi Microsoft resmi untuk melindungi proses spawn.

Lihat wiki untuk instruksi pemasangan dan penggunaan.

Fitur utama Shad0W C2:

• Dibangun untuk Docker - Berjalan sepenuhnya di dalam Docker yang memungkinkan penggunaan lintas platform
• Sangat modular - mudah membuat modul baru untuk berinteraksi dan tugas suar
• HTTPS C2 Communication - Semua lalu lintas antara suar dan C2 dienkripsi dan ditransmisikan melalui https
• Protokol Berbasis JSON - Beacon khusus dapat dibangun dan digunakan dengan protokol yang mudah diimplementasikan
• Live Proxy and Mirror - Server C2 dapat mencerminkan situs web apa pun secara real time, menyampaikan semua lalu lintas non C2 ke situs itu, membuatnya terlihat kurang subjek jika dilihat di browser web
• CLI Modern - CLI dibangun di atas alat prompt prompt

Fitur utama suar shad0w:

• Exe, PowerShell, Shellcode dan Lainnya - Beacon dapat dihasilkan dan digunakan dalam banyak format yang berbeda
• Injeksi Proses - Memungkinkan Operator untuk dllinject , migrate , shinject dan banyak lagi
• Bypass AV - Payload sering diperbarui untuk menghindari produk anti -virus umum
• Sangat dapat dikonfigurasi - kegugupan khusus, agen pengguna dan banyak lagi
• HTTPS C2 Communication - Lalu lintas ke dan dari C2 dienkripsi melalui HTTPS
• Proxy Sadar - Semua panggilan balik dapat menggunakan proxy sistem saat ini

Modul saat ini:

• Elevate - Built in Privesc Exploits
• Ghost in the Log - Nonaktifkan ETW & Sysmon, info lebih lanjut dapat ditemukan di sini
• Ghostpack - binari disusun setiap malam melalui pipa Azure. Terima kasih untuk @FLangvik
• Mimikatz - Untuk semua kebutuhan pencurian kredensial Anda
• SharpCollection - satu ton alat ofensif .NET, info lebih lanjut dapat ditemukan di sini
• Sharpsocks - Reverse Socks Proxy melalui https
• Stdapi - perintah umum untuk berinteraksi dengan sistem file
• PowerShell yang tidak dikelola - berisi bypass AMSI yang dibangun
• Unggah dan Unduh - Eksfiltrasi Data Mudah