shad0w

Shad0W는 성숙한 환경에서 성공적으로 작동하도록 설계된 모듈 식 C2 프레임 워크입니다.

다양한 방법을 사용하여 EDR과 AV를 피하는 동시에 운영자가 익숙한 툴링 및 트레이드 크래프트를 계속 사용할 수 있습니다. Python 3.8 및 C로 구동되며 페이로드 생성을 위해 도넛을 사용합니다. Shad0W의 프로세스 분사 기능과 함께 도넛을 사용함으로써, 운영자에게 .NET 어셈블리, DLLS, EXES, JS, VBS 또는 XSL을 메모리 내부에 완전히 실행할 수있는 기능을 제공합니다. 동적으로 해결 된 SYSCALLS는 EDR이 스폰 프로세스를 보호하기 위해 EDR이 비콘 및 공식 Microsoft 완화 방법에 코드를로드하기가 더 어려워 지도록 사용자 랜드 API 훅킹, 안티 DLL 주입을 피하는 데 많이 사용됩니다.

설치 및 사용 지침은 Wiki를 참조하십시오.

Shad0W C2의 주요 기능 :

• Docker를 위해 제작 - 크로스 플랫폼 사용을 허용하는 Docker 내부에서 완전히 실행됩니다.
• 극도
• HTTPS C2 통신 - 비콘과 C2 간의 모든 트래픽은 암호화되어 HTTPS를 통해 전송됩니다.
• JSON 기반 프로토콜 - 사용자 정의 비콘은 구현하기 쉬운 프로토콜로 구축 및 사용할 수 있습니다.
• 라이브 프록시 및 미러 - C2 서버는 모든 웹 사이트를 실시간으로 미러링하여 해당 사이트로 모든 비 C2 트래픽을 전달하여 웹 브라우저에서 볼 때 덜 주제로 보입니다.
• Modern CLI- CLI는 Prompt -Toolkit에 구축됩니다

Shad0W 비콘의 주요 기능 :

• Exe, PowerShell, ShellCode 등 - 비콘을 생성하여 다양한 형식으로 사용할 수 있습니다.
• 프로세스 주입 - 운영자가 dllinject , migrate , shinject 등을 허용합니다.
• 우회 AV- 페이로드는 일반적인 항 바이러스 제품을 피하기 위해 자주 업데이트됩니다.
• 고도로 구성 가능 - 사용자 정의 지터, 사용자 에이전트 등
• HTTPS C2 통신 - C2와의 트래픽은 https를 통해 암호화됩니다.
• 프록시 인식 - 모든 콜백은 현재 시스템 프록시를 사용할 수 있습니다.

현재 모듈 :

• 높이 - 프리브스 익스플로잇 내장
• 로그의 고스트 - ETW & Sysmon 비활성화, 추가 정보는 여기에서 찾을 수 있습니다.
• Ghostpack- Binaries는 Azure 파이프 라인을 통해 밤마다 편집했습니다. @flangvik에게 감사합니다
• Mimikatz- 모든 자격 증명 도난 요구 사항
• SharpCollection- 수많은 .NET 공격 도구, 추가 정보는 여기에서 찾을 수 있습니다.
• Sharpsocks- https에 대한 리버스 양말 프록시
• STDAPI- 파일 시스템과 상호 작용하는 일반적인 명령
• 관리되지 않는 PowerShell- 내장 AMSI 바이 패스가 포함되어 있습니다
• 업로드 및 다운로드 - 쉬운 데이터 추출