/ _\ |__ __ _ __| | _____ __ / _ \_ __ ___ ___ ___ ___ ___
\ \| '_ \ / _` |/ _` |/ _ \ \ /\ / / / /_)/ '__/ _ \ / __/ _ \/ __/ __|
_\ \ | | | (_| | (_| | (_) \ V V / / ___/| | | (_) | (_| __/\__ \__ \
\__/_| |_|\__,_|\__,_|\___/ \_/\_/ \/ |_| \___/ \___\___||___/___/
created by Tobiasasa
Sientase libre de descargar/utilizar shadowprocess en cualquier equipo en el que tenga permiso para ejecutar software malicioso, bajo ningun termino se permite utilizar shadowprocess en un ordenador en el cual no se tenga concentimiento para ejecutar malware, no solamente es ilegal sino que pondriamos en peligro el equipo en cuestión. Dado que la Herramienta de acceso remoto(RAT) necesita poder conectarse de forma remota, está permitiendo una persistencia de otros piratas informáticos en la red puedan apuntar o incluso bruteforce.
El proposito de shadowprocess es enseñar a todo aquel de la comunidad de ciberseguridad los conceptos basicos del desarrollo de malware, he comentado todo el codigo , haciendo este mas interpretable por cualquiera que este comenzando, asi que ¡no hay excusas!
El desarrrollo de malware es una habilidad escencial que a menudo se pasa por alto en el mundo de la seguridad, al investigar desarrollo de malware, los desarrolladores e investigadores de seguridad pueden comprender mejor como piensan los ciberdelincuentes, asi como aprender a desarrollar el suyo con fines de seguridad. No me hago responsable del uso que le den al malware, construido unicamente con fines educativos
| Victima | Atacante |
|---|---|
| Windows 10 | SSH |
| Python3 | |
| Parrot or KaliLinux |
ShadowProcess es un RAT (Herramienta de acceso remoto) C2 (command and control), realiza la conexión remota mediante ssh, para facilitar la tarea de adminsitración, shadowprocess.py se ejecuta a modo de panel de administrador para gestionar las conexiones y ordenadores de manera más eficiente. Es capaz de conectarse de forma remota a la computadora de destino, cargas y descargas remotas de archivos, así como la ejecución de código todo a través de comandos de red y comunicación.
El servidor de shadowProcess esta programado en powershell y bash haciendo este un muy buen candidato a ser indetectable, ya que todo ocurre normalmente dentro de windows y todos los cambios son realizado desde el powershell, por lo cual sus capacidades de red avanzadas dificultan la detección de antivirus y firewalls estándar.
ShadowProcess tiene multiples formas de infectar a una victima, la princial concierne una instalación de archivos por lotes.
Comenzamos con el archivo initial.cmd el cual descargar en forma de administrador archivos a la carpeta %startup%, el wget.cmd y el installer.ps1. El wget se encarga de saltearse el UAC, agregar a la lista de exclusiones de windows defender la carpeta %startup%, donde se descargar el installer (startup) y tambien agrega el directorio temporal a exclusiones, finalmente descargar y ejecutar el instalador.
El instalador crea un carpeta con nombre aleatorio dentro del direcrotio %temp%, la cual sera la carpeta donde iran nuestros payloads.
| [+] Mando y control | Descripción |
|---|---|
| [orconsole] | Consola remota |
| [fix orconsole] | Recargar consola |
| [upload] | Subir archivo |
| [set connection remote] | Establece la conexión en remoto |
| [restart] | Reinicia el PC de destino |
| [shutdown] | Apaga el PC objetivo |
| [killswitch] | Elimina ShadowProceess del objetivo |
| [+] Reconocimiento | Descripción |
|---|---|
| [instalall keylogger] | Instalar keylogger |
| [instalall screencapture] | Instalar modulo capturas de pantalla |
| [instalall webcam] | Instalar modulo webcam |
| [start keylogger] | Iniciar Keylogger |
| [stop keylogger] | Detener Keylogger |
| [screenshot] | Tomar captura de pantalla |
| [webcam] | Tomar Foto de WebCam |
| [+] Opciones | Descripción |
|---|---|
| [help] | Menú de ayuda |
| [man] | Manual ShadowProcess |
| [config] | Mostrar archivo .shp |
| [version] | Número de version |
| [update] | Actualizar ShadowProcess |
| [uninstall] | Desinstalar ShadowProcess |
| [quit] | Salir |
Posteriormente, agrega una entrada al registro de windows, por ultimo es creado un usuario elevado con totales privilegios en la maquina victima, este usuario esta oculto para cualquier usuario o administrador del sistema.
Todos los archivos de instalación y configuración se borran automaticamente 5 segundos luego de instalar, y crear el usuario.
Ahora lo unico que tenemos que hacer es configurar nuestro rat para atacar por ssh. Lo que tendremos que hacer es crear un archivo .shp (guardar un txt con extension .shp) con el siguente formato:
¡H4PPY H4CK1NG!