shad0w

Shad0Wは、成熟した環境で正常に動作するように設計されたモジュラーC2フレームワークです。

さまざまな方法を使用してEDRとAVを回避しながら、オペレーターが慣れ親しんでいるツールと商業の使用を継続できるようにします。 Python 3.8とCを搭載し、ペイロード生成にドーナツを使用しています。 DONUTをSHAD0Wのプロセスインジェクション機能とともに使用することにより、オペレーターに.NETアセンブリ、DLL、EXE、JS、VBSまたはXSLを完全にメモリ内で実行する機能を提供します。動的に分解されたシステムは、ユーザーランドAPIのフック、抗DLLインジェクションを回避するために非常に使用されており、EDRがビーコンにコードをロードすることを難しくし、スポーンプロセスを保護するための公式のMicrosoft緩和方法を緩和します。

インストールと使用手順については、Wikiを参照してください。

SHAD0W C2の主な機能：

• Docker用に構築- Docker内で完全に実行され、クロスプラットフォームの使用が可能になります
• 非常にモジュラー- 対話してタスクビーコンに簡単に作成できる新しいモジュールを作成できます
• HTTPS C2通信- ビーコンとC2間のすべてのトラフィックは暗号化され、HTTPSを介して送信されます
• JSONベースのプロトコル- カスタムビーコンは、簡単に実装できるプロトコルで構築および使用できます
• ライブプロキシとミラー-C2サーバーはあらゆるWebサイトをリアルタイムでミラーリングでき、すべての非C2トラフィックをそのサイトに中継することができ、Webブラウザーで表示されたときに科目が少なくなります。
• Modern CLI- CLIはプロンプトツールキットの上に構築されています

Shad0Wビーコンの主な機能：

• exe、powershell、shellcodeなど- ビーコンは、さまざまな形式で生成および使用できます
• プロセスインジェクション- オペレーターがdllinject 、 migrate 、 shinjectなどを可能にします
• バイパスAV-ペイロードは頻繁に更新され、一般的なウイルス剤製品を回避する
• 高度に構成可能- カスタムジッター、ユーザーエージェントなど
• HTTPS C2通信- C2との間のトラフィックはHTTPSを介して暗号化されます
• プロキシアウェア- すべてのコールバックは現在のシステムプロキシを使用できます

現在のモジュール：

• Elevate -PrivesCエクスプロイトに組み込まれています
• ゴーストインログ- etw＆sysmonを無効にする、詳細についてはこちらをご覧ください
• GhostPack -Azureパイプラインを介して毎晩編集されたバイナリ。 @flangvikに感謝します
• Mimikatz-すべての資格盗難のニーズのために
• SharpCollection-たくさんの.NET攻撃ツール、詳細についてはこちらをご覧ください。
• Sharpsocks -HTTPSを介したリバースソックスプロキシ
• stdapi-ファイルシステムと対話するための共通コマンド
• 未成年のPowerShell -AMSIバイパスに組み込まれています
• アップロードとダウンロード- 簡単なデータ除去