shad0w

O Shad0W é uma estrutura C2 modular projetada para operar com êxito em ambientes maduros.

Ele usa uma variedade de métodos para evitar o EDR e o AV, permitindo que o operador continue usando ferramentas e trocas com o qual estão familiarizados. É alimentado pelo Python 3.8 e C, e usa donut para geração de carga útil. Ao usar o DONUT junto com os recursos de injeção de processo do Shad0W, ele fornece ao operador a capacidade de executar conjuntos .NET, DLLs, exes, JS, VBS ou XSLs totalmente dentro da memória. Os sysCalls resolvidos dinamicamente são fortemente usados ​​para evitar que a API do Userland Toks, a injeção anti -DLL para dificultar a carga do EDR nos beacons e métodos oficiais de mitigação da Microsoft para proteger os processos de Spawn.

Consulte o wiki para obter instruções de instalação e uso.

Principais características do Shad0W C2:

• Construído para o Docker - corre totalmente dentro do Docker, permitindo o uso da plataforma cruzada
• Extremamente modular - fácil de criar novos módulos para interagir e tarefas Beacons
• Comunicação HTTPS C2 - Todo o tráfego entre os beacons e o C2 são criptografados e transmitidos por https
• Protocolo baseado em JSON - Beacons personalizados podem ser construídos e usados ​​com um protocolo fácil de implementar
• Proxy e espelho ao vivo - o servidor C2 pode refletir qualquer site em tempo real, transmitindo todo o tráfego não C2 para esse site, fazendo com que pareça menos sujeito quando visualizado em um navegador da web
• CLI moderna - a CLI é construída no pront -toolkit

Principais características de shad0w beacons:

• Exe, PowerShell, shellcode e muito mais - Beacons podem ser gerados e usados ​​em muitos formatos diferentes
• Injeção de processo - permite que o operador seja dllinject , migrate , shinject e mais
• Bypass AV - Cargas úteis são frequentemente atualizadas para evitar produtos antivírus comuns
• Altamente configurável - nervosistas personalizados, agentes de usuários e muito mais
• Comunicação HTTPS C2 - O tráfego de e para o C2 é criptografado via HTTPS
• Proxy ciente - todos os retornos de chamada podem usar o proxy do sistema atual

Módulos atuais:

• Elevate - explorações de privesc incorporadas
• Fantasma nos logs - Desative o ETW & Sysmon, mais informações podem ser encontradas aqui
• Ghostpack - Binários compilados todas as noites por meio de um oleoduto do Azure. Obrigado a @flangvik
• Mimikatz - Para todas as suas necessidades de roubo de credenciais
• SharpCollection - Uma tonelada de ferramentas ofensivas .NET, mais informações podem ser encontradas aqui
• Sharpsocks - Proxy de meias reversas sobre HTTPS
• STDAPI - Comandos comuns para interagir com o sistema de arquivos
• PowerShell não gerenciado - contém incorporado em AMSI incorporado
• Upload e download - Exerção de dados fácil