shad0w

Shad0w是一个模块化C2框架，旨在成功在成熟环境上运行。

它使用一系列方法来逃避EDR和AV，同时允许操作员继续使用他们熟悉的工具和Tradecraft。它由Python 3.8和C提供支持，并使用甜甜圈进行有效载荷生成。通过使用Donut以及Shad0W的过程注入功能，它使操作员能够完全在内存内部执行.NET组件，DLL，EXES，JS，VBS或XSLS。动态解析的SYSCALL大量用于避免使用Userland API钩，抗DLL注入，以使EDR更难将代码加载到信标和Microsoft官方缓解方法中以保护产卵过程。

有关安装和使用说明，请参见Wiki。

Shad0w C2的主要功能：

• 为Docker构建- 完全在Docker内部运行，允许跨平台使用
• 极度模块化- 易于创建新模块以进行交互和任务信标
• HTTPS C2通信- 信标和C2之间的所有流量均通过HTTPS进行加密和传输
• 基于JSON的协议- 自定义信标可以与易于实现的协议一起构建和使用
• 实时代理和镜像- C2服务器能够实时镜像任何网站，将所有非C2流量传递到该网站，从而在Web浏览器中查看时看起来不那么主题
• 现代CLI- CLI建立在及时的镇上

Shad0w信标的主要功能：

• EXE，Powershell，ShellCode等- 可以以许多不同格式生成和使用的信标
• 进程注入- 允许操作员对dllinject ， migrate ， shinject等等
• 旁路AV-经常更新有效载荷以逃避常见的反病毒产品
• 高度可配置的- 自定义抖动，用户代理等
• HTTPS C2通信- 往返C2的流量通过HTTPS加密
• 代理意识- 所有回调都可以使用当前系统代理

当前模块：

• 抬高- 内置privesc漏洞
• 日志中的幽灵- 禁用ETW＆sysmon，可以在此处找到更多信息
• GhostPack-二进制文件通过Azure管道每晚编译。感谢@flangvik
• Mimikatz-满足您所有的盗窃需求
• 正式收获- 大量的.NET进攻工具，可以在此处找到更多信息
• Sharpsocks-反向袜子代理HTTPS
• STDAPI-与文件系统交互的常见命令
• 不受管理的PowerShell-包含在AMSI旁路中建造的
• 上传和下载- 简易数据剥离