shad0w

SHAD0W - это модульная структура C2, предназначенная для успешной работы в зрелых условиях.

Он использует ряд методов, чтобы уклониться от EDR и AV, позволяя оператору продолжать использовать инструменты и торговые виды, с которыми они знакомы. Его питание от Python 3.8 и C и использует пончик для генерации полезной нагрузки. Используя пончики вместе с возможностями впрыска процесса SHAD0W, он предоставляет оператору возможность выполнять сборок .NET, DLLS, EXES, JS, VBS или XSLS полностью внутри памяти. Динамически разрешенные Syscalls широко используются, чтобы избежать зацепления API пользователя, анти -DLL -инъекции, чтобы EDR затрудняет загружать код в маяки и официальные методы смягчения Microsoft для защиты процессов появления.

Смотрите вики для установки и инструкций по использованию.

Основные особенности Shad0W C2:

• Построен для Docker - полностью работает внутри Docker, позволяя использовать кросс -платформу
• Чрезвычайно модульный - легко создавать новые модули для взаимодействия и задач маяки
• HTTPS C2 Communication - весь трафик между маяками и C2 зашифруется и передается на HTTPS
• Протокол на основе JSON - пользовательские маяки могут быть созданы и используются с протоколом простых в реализации
• Live Proxy and Mirror - сервер C2 может отражать любой веб -сайт в режиме реального времени, передавая весь трафик не C2 на этот сайт, что делает его меньшим количеством предмета, если просмотреть в веб -браузере
• Современный CLI - CLI построен на быстрого обстановки

Основные особенности маяков Shad0W:

• Exe, PowerShell, SheltCode и другие маяки могут быть сгенерированы и используются во многих разных форматах
• Инъекция процесса - позволяет оператору dllinject , migrate , shinject и многое другое
• Обход AV - полезные нагрузки часто обновляются, чтобы уклониться от общих антивирусных продуктов
• Высоко настраивается - пользовательские дрожащие, пользовательские агенты и многое другое
• HTTPS C2 Communication - Трафик к C2 и обратно зашифруется через HTTPS
• Proxy Abour - Все обратные вызовы могут использовать текущую систему прокси

Текущие модули:

• Elevate - встроенные эксплойты PRIVESC
• Призрак в журналах - Отключить ETW & Sysmon, здесь можно найти больше информации
• Ghostpack - двоичные файлы, составленные ночью с помощью лазурного трубопровода. Спасибо @flangvik
• Mimikatz - Для всех ваших потребностей в краже полномочий
• Sharpcollection - тонна наступательных инструментов .NET, больше информации можно найти здесь
• Sharpsocks - прокси -сервер в обратном носке по HTTPS
• STDAPI - Общие команды для взаимодействия с файловой системой
• Неуправляемый PowerShell - содержит встроенные в обход AMSI
• Загрузить и загрузить - Easy Data Exfiltration