Whispergate/Erebus

# Erebus Erebus 是一个现代化的初始访问封装工具，旨在缩短在准备入侵操作时从开发到部署的时间。Erebus 内置了多种技术，可帮助构建复杂的攻击链，并协助绕过最严格的安全防护措施。 本项目旨在扩展您的攻击能力，但绝非适用于所有环境的万能解决方案。如果您想添加自己的技术或修改现有技术，请查看项目的文档页面以获取更多信息。 ## 如何在 Mythic 中以这种格式安装代理 当您准备测试安装或让其他用户安装您的代理时，操作非常简单。在 Mythic 中，您可以运行 `mythic-cli` 二进制文件，通过以下三种方式之一进行安装： * `sudo ./mythic-cli install github https://github.com/Whispergate/Erebus` 安装主分支 * `sudo ./mythic-cli install github https://github.com/Whispergate/Erebus branchname` 安装该仓库的特定分支 * `sudo ./mythic-cli install folder /path/to/local/folder/cloned/from/github` 从已克隆的代理仓库本地文件夹进行安装 现在，您可能会想知道什么时候应该执行此操作才能正确地将代理添加到 Mythic 实例中。这没有标准答案，取决于您的偏好。三种选择如下： * 如果 Mythic 已经在运行，您可以运行安装脚本并直接启动该代理的容器（例如 `sudo ./mythic-cli start erebus_wrapper`），如果该代理有自己特殊的 C2 容器，您也需要通过 `sudo ./mythic-cli start erebus_wrapper` 来启动它们。 * 如果 Mythic 已经在运行，但您想简化操作步骤，可以直接安装代理后运行 `sudo ./mythic-cli start`。该脚本会先_停止_所有容器，然后重新启动所有内容。这也会将您刚刚安装的代理一并启动。 * 如果 Mythic 尚未运行，您可以安装脚本后直接运行 `sudo ./mythic-cli start`。 ## 文档 点击 Mythic 界面右上角的 **Docs -> Agent Documentation** 查看渲染后的文档。 ## 功能特性 - **Payload 生成**：Shellcode 加载器、VBA 宏、XLL 加载项、DLL 劫持和恶意文档 - **执行方式**：CreateThread、AddressOfEntryPoint 注入、QueueUserAPC、EnumLocales 等 - **VBA Payload**：命令执行、PowerShell、Schtasks、WMI、Rundll32、Regsvr32 和 shellcode 注入 - **恶意文档创建**：基于模板的 XLSM 生成与 VBA 注入 - **MSI 后门植入**：多种 MSI 安装包注入攻击向量 - **代码签名**：自签名、URL 欺骗和自定义证书支持 - **混淆**：VBA 混淆、shellcode 加密和压缩 - **IOC 追踪**：自动化哈希收集和 IOC 报告生成 - **诱饵文件**：用于社会工程学的自定义诱饵文件 - **插件系统**：使用插件系统轻松添加您自己的插件，满足内部使用场景 ## 路线图 ### 功能 - [x] 执行防护机制 - [x] 扩展对更大 shellcode 的支持（Apollo、Athena 等） - [x] 增强模块化与自定义支持（模板化） - [x] 扩展 DLL 劫持 Shellcode 混淆支持（更多解密、解码和解压缩支持） - [x] 解码 - [x] 解密 - [x] 解压缩 - [x] 完整的 XLSM/XLAM 钓鱼 payload - [x] LNK 触发器 - [x] MSC 管理单元和 GrimReaper 触发器 - [x] 隐藏的 MSI/ISO 容器文件 - [x] 恶意文档 VBA 生成器 - [x] 分阶段 VBA 加载器（用于更大的 shellcode，例如 Apollo） - [x] 无阶段 VBA 加载器 ### 已知问题 - VBA：Address of Entry Point 注入在 v0.1.0 版本中尚不可用 - 某些 payload 编译期间容器会离线，请等待约 >5 分钟让其完成工作 ### Bug 修复 #### [v0.1.0] - 修复了 VBA 加载器问题，并通过 Mythic 直接文件下载添加了分阶段加载器 #### [v0.0.2] - 修复了 XLL 源代码保存的问题 - 生成了 build_xll.bat 用于原生 Windows 重新编译 - 改进了构建过程中的错误处理和输出消息 - 修复了 MSI 后门注入器 - 添加了 MSC GrimReaper 触发器 - 添加了对更大 shellcode 的支持（Apollo、Athena 等） #### [v0.0.1] - 构建步骤中的小问题 - 加载器解压缩 bug

标签：Mythic C2, payload 生成, Shellcode 转换, 免杀技术, 入侵操作, 初始访问包装器, 命令与控制, 复杂攻击链, 安全防护绕过, 快速部署, 搜索语句（dork）, 暴力破解检测, 渗透测试框架, 社工攻击, 红队工具集, 自动化开发, 载荷生成, 逆向工具, 防御