หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ด C#
ดาวน์โหลด

Shad0w

โลโก้ Shad0W

Shad0W เป็นเฟรมเวิร์ก C2 แบบแยกส่วนที่ออกแบบมาเพื่อให้ทำงานได้สำเร็จในสภาพแวดล้อมที่เป็นผู้ใหญ่

มันใช้วิธีการที่หลากหลายในการหลบเลี่ยง EDR และ AV ในขณะที่อนุญาตให้ผู้ประกอบการใช้เครื่องมือและ Tradecraft ที่คุ้นเคย ขับเคลื่อนโดย Python 3.8 และ C และใช้โดนัทสำหรับการสร้างน้ำหนักบรรทุก ด้วยการใช้โดนัทพร้อมกับความสามารถในการฉีดกระบวนการของ Shad0W ทำให้ผู้ปฏิบัติงานสามารถดำเนินการแอสเซมบลี. NET, DLLs, Exes, JS, VBS หรือ XSLS ภายในหน่วยความจำอย่างเต็มที่ syscalls ที่ได้รับการแก้ไขแบบไดนามิกถูกนำมาใช้อย่างมากเพื่อหลีกเลี่ยงการเชื่อมต่อ Userland API, การฉีด DLL ต่อต้านเพื่อให้ EDR ยากขึ้นในการโหลดรหัสลงในบีคอนและวิธีการบรรเทา Microsoft อย่างเป็นทางการเพื่อปกป้องกระบวนการวางไข่

ดูวิกิสำหรับคำแนะนำในการติดตั้งและการใช้งาน

คุณสมบัติหลักของ Shad0W C2:

  • สร้างขึ้นเพื่อ Docker - ทำงานอย่างเต็มที่ภายใน Docker ช่วยให้การใช้งานข้ามแพลตฟอร์ม
  • โมดูลมาก - ง่ายต่อการสร้างโมดูลใหม่เพื่อโต้ตอบและงานบีคอนงาน
  • การสื่อสาร HTTPS C2 - การรับส่งข้อมูลทั้งหมดระหว่างบีคอนและ C2 ได้รับการเข้ารหัสและส่งผ่าน HTTPS
  • โปรโตคอลที่ใช้ JSON - บีคอนแบบกำหนดเองสามารถสร้างและใช้กับโปรโตคอลที่ใช้งานง่าย
  • พร็อกซีสดและมิเรอร์ - เซิร์ฟเวอร์ C2 สามารถสะท้อนเว็บไซต์ใด ๆ แบบเรียลไทม์ถ่ายทอดการรับส่งข้อมูลที่ไม่ใช่ C2 ทั้งหมดไปยังไซต์นั้นทำให้มันดูน้อยลงเมื่อดูในเว็บเบราว์เซอร์
  • CLI ที่ทันสมัย ​​- CLI ถูกสร้างขึ้นบน Prompt -Toolkit

คุณสมบัติหลักของ Shad0W Beacons:

  • Exe, PowerShell, ShellCode และอื่น ๆ - บีคอนสามารถสร้างและใช้ในรูปแบบที่แตกต่างกันได้หลายรูปแบบ
  • การฉีดกระบวนการ - อนุญาตให้ผู้ปฏิบัติงาน dllinject , migrate , shinject และอื่น ๆ
  • Bypass AV - Payloads ได้รับการปรับปรุงบ่อยครั้งเพื่อหลีกเลี่ยงผลิตภัณฑ์ป้องกันไวรัสทั่วไป
  • สามารถกำหนดค่าได้สูง - กระวนกระวายใจที่กำหนดเองตัวแทนผู้ใช้และอื่น ๆ
  • การสื่อสาร HTTPS C2 - การรับส่งข้อมูลไปและกลับจาก C2 ถูกเข้ารหัสผ่าน HTTPS
  • Proxy Aware - การโทรกลับทั้งหมดสามารถใช้พร็อกซีระบบปัจจุบัน

โมดูลปัจจุบัน:

  • ยกระดับ - สร้างขึ้นในการหาประโยชน์ privesc
  • ผีในบันทึก - ปิดใช้งาน ETW & Sysmon ข้อมูลเพิ่มเติมสามารถพบได้ที่นี่
  • Ghostpack - ไบนารีรวบรวมทุกคืนผ่านท่อ Azure ขอบคุณ @flangvik
  • Mimikatz - สำหรับความต้องการการขโมยข้อมูลประจำตัวของคุณทั้งหมด
  • Sharpcollection - เครื่องมือรุก. NET จำนวนมากข้อมูลเพิ่มเติมสามารถพบได้ที่นี่
  • Sharpsocks - Reverse Socks Proxy ผ่าน https
  • stdapi - คำสั่งทั่วไปที่จะโต้ตอบกับระบบไฟล์
  • PowerShell ที่ไม่มีการจัดการ - มีบายพาส AMSI ในตัว
  • อัปโหลดและดาวน์โหลด - Easy Data Exfiltration

ความไม่ลงรอยกันอย่างเป็นทางการ

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด