MythicAgents/Kharon-Mtc

# 警告 该 agent 已迁移至 AdaptixC2 工作：https://github.com/entropy-z/Kharon/ # Kharon Agent  针对 Mythic 的 C2 Agent，具备高级规避能力，支持 dotnet/powershell/shellcode/BOF 内存执行、横向移动、跳板等。Kharon 是完全的位置无关代码 (PIC) shellcode。 # 作者链接 - [Linkedin](https://www.linkedin.com/in/josu%C3%A9-m-6311882a4/) - [Blog](https://oblivion-malware.xyz/) - [X](https://x.com/awwhwhasz) - [Github](https://github.com/entropy-z) ## TODO - Token 操控 (修复) - Beacon SMB - Socks - Upload/Download - WinRM Exec ## Listener - **HTTP/S**: 基于 Web 的加密通信 - **SMB**: 基于命名管道的 C2 通道 ## Evasion - 使用硬件断点绕过 AMSI/ETW。 - 通过计时器进行休眠混淆。 - 休眠期间进行堆混淆 (XOR)。 - 间接系统调用。 - 调用堆栈欺骗。 ## 内存执行 支持注入 dotnet 程序集、shellcode 和 Beacon Object File (BOF)。除了 shellcode 暂时不是外，所有执行都是内联的。 ### 通用 允许自定义注入技术，包括： - **Allocation**: DripAlloc 或标准分配。 - **Writing**: WriteMemoryAPC 或标准内存写入 (内联仅使用自定义 memcpy)。 ### Methods - **Dotnet**: 可以注入 .NET 程序集并在内存中执行。 - **Powershell**: 使用 PowerPick，你可以传递命令进行执行。 - **Shellcode**: 标准的 shellcode 内存执行，支持使用你自己的 shellcode 执行后渗透操作。 - **BOF (Beacon Object File)**: 除了标准的 BOF 执行外，agent 还提供文档中提到的自定义 API。未来的更新可能会包含更多 API。使用这些 API 的优势在于它们在首选上下文中执行，并带有堆栈欺骗和/或间接系统调用。 ## Lateral Movement 高级移动技术： - **WMI**: Windows Management Instrumentation 执行 - **SCM**: 基于服务的执行，采用自定义实现 - **WinRM**: 通过 COM 进行 Windows 远程管理执行，无需生成 powershell 二进制文件 ## Process Creation - **PPID Spoofing**: 伪装成合法进程的子进程 - **BlockDLL Enforcement**: 限制非 Microsoft DLL 注入 ## Kerberos Interactions 一些用于 Kerberos 交互的命令，如 klist、ptt、describe、triage、s4u 等。 ## Misc Commands - 注册表交互 - SCM 交互 - Token 操控 - 一些 Netapi32 命令 - Slack cookie 转储 - ipconfig, whoami, env, arp, dns cache 和 uptime 查看 [参考资料](REFERENCES.md)！

标签：AI合规, AMSI 绕过, BOF (Beacon Object File), C2 Agent, Chrome扩展, Dotnet, ETW 绕过, HTTP工具, IPv6, IP 地址批量处理, Mythic, .NET Assembly 注入, PE 加载器, PIC (Position Independent Code), PowerShell, Raspberry Pi, RFI远程文件包含, Shellcode, UML, Windows 安全, WinRM, WMI, 中高交互蜜罐, 休眠混淆, 内存执行, 堆欺骗, 多人体追踪, 恶意软件开发, 技术调研, 横向移动, 编程规范, 网络信息收集, 网络安全, 规避技术, 调用栈欺骗, 间接系统调用, 隐私保护