DRILL V3

Представляет собой фреймворк C2 под названием DRILL (Distributable Remote Integrated Lightweight Link). Этот инструмент предназначен для проведения операций по тестированию на проникновение и симуляции атак в различных операционных системах, включая Windows, Linux и macOS.

Особенности

Связь через WebSocket

DRILL использует протокол WebSocket для связи с C2, эффективно обходя брандмауэры и прокси-серверы. Это позволяет осуществлять двунаправленную связь между агентом и сервером в режиме реального времени, повышая скрытность и эффективность.

Однопортовое управление

Весь трафик проходит через один порт, используя HTTP/HTTPS, что упрощает обход сети и облегчает маскировку под легитимный трафик.

Совместимость с туннелем Cloudflare

DRILL может быть легко туннелирован через Cloudflare, обеспечивая дополнительный уровень безопасности и обфускации для C2-коммуникаций.

Кросс-платформенная генерация полезной нагрузки

Встроенная интеграция Docker позволяет легко создавать полезную нагрузку для целей Linux, Windows и OSX, расширяя универсальность фреймворка.

Надежные механизмы постоянства

Windows: Внедряет стартовые ключи реестра и модификации профиля PowerShell (профиль Powershell временно отключен из-за ошибки)
Linux: Создает локальный процесс systemd для постоянного доступа
OSX: Использует агенты запуска для самостоятельного запуска при старте

Расширенные возможности передачи файлов

Отправка и получение файлов на/из одной или нескольких машин одновременно
Поддерживает передачу исполняемых файлов, повышая гибкость пост-эксплойта

Модули пост-эксплойта (PEM)

Средства кражи учетных данных для сбора информации для входа в систему
Массовое выполнение команд на нескольких скомпрометированных системах
Легко расширяемая система модулей для будущих улучшений

Download | Github

#malware