Nimbo C2
4.05
Nimbo-C2は、さらに別の(シンプルで軽量)C2フレームワークです。
Nimbo-C2エージェントはX64 Windows&Linuxをサポートしています。 NIMで書かれており、Windowsで.NETを使用して(CLRをプロセスに動的にロードすること)。 NIMは強力ですが、Windowsとの対話はPowerShellを使用してはるかに簡単で堅牢です。したがって、この組み合わせが作成されます。 Linuxエージェントはスリムで、 memfd技術を使用したELFロードなど、基本的なコマンドのみが能力があります。
すべてのサーバーコンポーネントはPythonで記述されています。
私の仕事は、クレジットの下にリストされた他の人が行った以前の素晴らしい仕事がなければ不可能です。
UPX0 、 UPX1 )を難読化して、検出と開梱をより困難にします。config.jsoncで構成可能)。memfdを使用したELFロード。警告:Nimbo-C2は、提供されたDockerコンテナ内でのみ実行されることを目的としています
この方法でインストールすると、Dockerイメージが言語やライブラリバージョンを強制しないため、将来的に問題や非互換性が発生する可能性があるため、次の方法にスキップすることを検討してください。
cdをクローンします git clone https://github.com/itaymigdal/Nimbo-C2
cd Nimbo-C2
docker build -t nimbo-dependencies .
cd使用して、Dockerイメージをインタラクティブに実行し、ポート80とマウントNIMBO-C2ディレクトリをコンテナにマウントします(したがって、すべてのプロジェクトファイルに簡単にアクセスし、 config.jsonc変更し、エージェントからファイルをダウンロードしてアップロードするなど) 。 Linuxの場合、 ${pwd}を$(pwd)に置き換えます。 cd Nimbo-C2
docker run -it --rm -p 80:80 -v ${pwd}:/Nimbo-C2 -w /Nimbo-C2 nimbo-dependencies
ここでは、すでに構築、テスト、保存されたDockerイメージを使用しています -推奨されています。
git clone https://github.com/itaymigdal/Nimbo-C2
cd Nimbo-C2/Nimbo-C2
docker run -it --rm -p 80:80 -v ${pwd}:/Nimbo-C2 -w /Nimbo-C2 itaymigdal/nimbo-dependencies
まず、ニーズに合わせてconfig.jsoncを編集します。
次に、 python3 Nimbo-C2.pyで実行します
画面ごとにhelpコマンドを使用し、タブの完了を使用します。
また、例のディレクトリを確認してください。
Nimbo-C2 > help
--== Agent ==--
agent list -> List active agents
agent interact <agent-id> -> Interact with the agent
agent remove <agent-id> -> Remove agent data
--== Builder ==--
build exe -> Build EXE agent (-h for help)
build dll -> Build DLL agent (-h for help)
build elf -> Build ELF agent (-h for help)
--== Listener ==--
listener start -> Start the listener
listener stop -> Stop the listener
listener status -> Print the listener status
--== General ==--
cls -> Clear the screen
help -> Print this help message
exit -> Exit Nimbo-C2
Nimbo-C2 [d337c406] > help
--== Send Commands ==--
cmd <shell-command> -> Execute a shell command
iex <powershell-scriptblock> -> Execute in-memory powershell command
spawn <process-cmdline> -> Spawn new process using WMI win32_process class
--== File Stuff ==--
download <remote-file> -> Download a file from the agent (wrap path with quotes)
upload <local-file> <remote-path> -> Upload a file to the agent (wrap paths with quotes)
--== Discovery Stuff ==--
pstree -> Show process tree
checksec -> Enum security products
software -> Enum installed software
windows -> Enum visible windows
modules -> Enum process loaded modules (exclude Microsoft Dlls)
modules_full -> Enum process loaded modules (include Microsoft Dlls)
--== Collection Stuff ==--
clipboard -> Retrieve clipboard
screenshot -> Retrieve screenshot
audio <record-time> -> Record audio (waits for completion)
keylog start -> Start a keylogger in a new thread
keylog dump -> Retrieve captured keystrokes
keylog stop -> Retrieve captured keystrokes and stop the keylogger
--== Post Exploitation Stuff ==--
lsass examine -> Examine Lsass protections
lsass direct -> Dump Lsass directly (elevation required)
lsass comsvcs -> Dump Lsass using Rundll32 and Comsvcs.dll (elevation required)
lsass eviltwin -> Dump Lsass using the Evil Lsass Twin method (elevation required)
sam -> Dump sam,security,system hives using reg.exe (elevation required)
shellc <raw-shellcode-file> <pid> -> Inject shellcode to a remote process using indirect syscalls
assembly <local-assembly> <args> -> Execute inline .NET assembly (pass all args as a single quoted string)
--== Evasion Stuff ==--
patch amsi -> Patch AMSI using indirect syscalls
patch etw -> Patch ETW using indirect syscalls
--== Persistence Stuff ==--
persist run <command> <key-name> -> Set run key (will try first HKLM, then HKCU)
persist spe <command> <process-name> -> Persist using Silent Process Exit technique (elevation required)
--== Privesc Stuff ==--
uac fodhelper <command> -> Elevate session using the Fodhelper UAC bypass technique
uac sdclt <command> -> Elevate session using the Sdclt UAC bypass technique
--== Interaction stuff ==--
msgbox <title> <text> -> Pop a message box in a new thread
speak <text> -> Speak a string using the microphone
--== Misc stuff ==--
critical <true/false> -> Set agent process as critical (BSOD on termination) (elevation required)
--== Communication Stuff ==--
sleep <sleep-time> <jitter-%> -> Change sleep time interval and jitter
clear -> Clear pending commands
collect -> Recollect agent data
die -> Kill the agent
--== General ==--
show -> Show agent details
back -> Back to main screen
cls -> Clear the screen
help -> Print this help message
exit -> Exit Nimbo-C2
Nimbo-2 [51a33cb9] > help
--== Send Commands ==--
cmd <shell-command> -> Execute a terminal command
--== File Stuff ==--
download <remote-file> -> Download a file from the agent (wrap path with quotes)
upload <local-file> <remote-path> -> Upload a file to the agent (wrap paths with quotes)
--== Post Exploitation Stuff ==--
memfd <mode> <elf-file> <commandline> -> Load ELF in-memory using the memfd_create syscall
implant mode: load the ELF as a child process and return
task mode: load the ELF as a child process, wait on it, and get its output when it's done
(pass the whole command line as a single quoted string)
--== Communication Stuff ==--
sleep <sleep-time> <jitter-%> -> Change sleep time interval and jitter
clear -> Clear pending commands
collect -> Recollect agent data
die -> Kill the agent
--== General ==--
show -> Show agent details
back -> Back to main screen
cls -> Clear the screen
help -> Print this help message
exit -> Exit Nimbo-C2
audio 、 lsass (邪悪なLSASSツインメソッドを除く)、およびsamは、それらを除去して削除する前に、一時的にアーティファクトをディスクに保存します。persistコマンドのクリーニングは手動で行う必要があります。このソフトウェアは、完全かつ絶えずテストされていないため、一部のユースケースではバギーまたは不安定な場合があります。問題やPRを自由に開いてください。
