shad0w

Shad0w是一個模塊化C2框架，旨在成功在成熟環境上運行。

它使用一系列方法來逃避EDR和AV，同時允許操作員繼續使用他們熟悉的工具和Tradecraft。它由Python 3.8和C提供支持，並使用甜甜圈進行有效載荷生成。通過使用Donut以及Shad0W的過程注入功能，它使操作員能夠完全在內存內部執行.NET組件，DLL，EXES，JS，VBS或XSLS。動態解析的SYSCALL大量用於避免使用Userland API鉤，抗DLL注入，以使EDR更難將代碼加載到信標和Microsoft官方緩解方法中以保護產卵過程。

有關安裝和使用說明，請參見Wiki。

Shad0w C2的主要功能：

• 為Docker構建- 完全在Docker內部運行，允許跨平台使用
• 極度模塊化- 易於創建新模塊以進行交互和任務信標
• HTTPS C2通信- 信標和C2之間的所有流量均通過HTTPS進行加密和傳輸
• 基於JSON的協議- 自定義信標可以與易於實現的協議一起構建和使用
• 實時代理和鏡像- C2服務器能夠實時鏡像任何網站，將所有非C2流量傳遞到該網站，從而在Web瀏覽器中查看時看起來不那麼主題
• 現代CLI- CLI建立在及時的鎮上

Shad0w信標的主要功能：

• EXE，Powershell，ShellCode等- 可以以許多不同格式生成和使用的信標
• 進程注入- 允許操作員對dllinject ， migrate ， shinject等等
• 旁路AV-經常更新有效載荷以逃避常見的反病毒產品
• 高度可配置的- 自定義抖動，用戶代理等
• HTTPS C2通信- 往返C2的流量通過HTTPS加密
• 代理意識- 所有回調都可以使用當前系統代理

當前模塊：

• 抬高- 內置privesc漏洞
• 日誌中的幽靈- 禁用ETW＆sysmon，可以在此處找到更多信息
• GhostPack-二進製文件通過Azure管道每晚編譯。感謝@flangvik
• Mimikatz-滿足您所有的盜竊需求
• 正式收穫- 大量的.NET進攻工具，可以在此處找到更多信息
• Sharpsocks-反向襪子代理HTTPS
• STDAPI-與文件系統交互的常見命令
• 不受管理的PowerShell-包含在AMSI旁路中建造的
• 上傳和下載- 簡易數據剝離