关于Electron_shell

Electron_shell是一款功能强大且隐蔽性极强的远程访问红队工具,该工具基于JavaScript语言开发,专为红队研究人员设计,可以利用Electron的功能来实现命令注入,并实现了其他的远程控制方法。

现在,越来越多的桌面应用程序选择使用Electron框架来开发,即利用Chrome的“审查”功能或通过Node.js调用“审查”功能。在该工具中,我们对“审查”功能的实现进行了分析,并开发出了一种针对Electron程序的自动化渗透方法。

Electron_shell通过与命令控制C2服务器建立连接,可以实现简单的远程控制。

功能介绍

1、支持目前主流的操作系统:macOS、Linux、Windows;

2、几乎支持所有基于Electron开发的桌面应用程序,例如QQ、Microsoft Team、Discord、GitHub Desktop、淘宝直播、VScode等。

3、所有的操作都通过注入的程序执行,一般使用受信程序;

4、通过零信任沙箱实现应用程序绕过网络访问控制策略;

5、支持绕过下列反病毒软件:Windows Defender、Avast、火绒、360、腾讯管家、VirusTotal;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/djerryz/electron_shell.git

工具使用

C2服务器配置

首先,我们需要部署一台服务器,并获取一个公共IP地址。

然后执行下列命令:

nc -lvnp 8899

生成植入物

首先,我们需要根据实际情况修改项目中的build.config:

injected_app:需要注入的目标Electron应用程序;

c2:设置C2服务器的c2_Public IP地址和c2_netcat端口号;

接下来,执行下列命令构建代码,并将其封装成一个可执行的应用程序:

node build.js

最后,将其发送给目标用户,此时就能够获取到Electron_shell(Shell)了。

反病毒产品检测结果

许可证协议

本项目的开发与发布遵循GPLv3开源许可证协议。

项目地址

Electron_shell:【GitHub传送门

参考资料

https://en.wik1pedia.org/wiki/List_of_software_using_Electron