• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Вопрос Скрипт вирусы, почему не актуально ?


X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
1730802338578.png


Всем привет, тут вчера на форуме была создана а потом удалена тема, с причиной "Неактуально!"

В этой теме был выложен скрипт на питон, он-же во вложении.
Пароль:111

Вкратце скрипт делает следующее:

Данный скрипт собирает информацию с компьютера на котором был запущен скрипт и загружает её на веб сервер WebDAV.
При запуске скрипт работает в фоновом режиме и добавляется в автозагрузку Windows для автоматического запуска при каждом входе в систему.
Что делает скрипт:
Автозагрузка :
Скрипт добавляется в реестр Windows (`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`) с указанием пути текущего исполняемого файла.
После первого запуска скрипт будет запускаться автоматически при каждом входе в систему.
Сбор информации :
IP-адрес: Получает информацию об IP через API ipinfo.io.
Пароли браузеров: Извлекает и расшифровывает пароли из Google Chrome, Edge и Brave.
Файлы с рабочего стола: Собирает все `.txt` файлы с рабочего стола.
Изображения: Делает снимок с веб-камеры и скриншот рабочего стола.
Создание архива :Все собранные данные упаковываются в ZIP-архив в памяти без сохранения временных файлов на диск.
Загрузка на WebDAV : При каждом запуске скрипта, архив создаётся с уникальным именем и загружается из памяти на сервер WebDAV .
Например, на (Яндекс.Диск). Если загрузка не удалась, скрипт повторяет попытку до 3 раз с интервалом в 10 секунд.
Завершение работы : После успешной загрузки или исчерпания попыток скрипт завершает работу, вызывая сборщик мусора для очистки памяти.
При следующем запуске системы скрипт снова выполнит сбор данных и загрузку.
Основные задачи :
1. Извлечение и загрузка паролей.
2. Сбор файлов и изображений.
3. Упаковка и передача данных на удалённый сервер.
4. Автоматический перезапуск при входе в систему.

Вопрос а почему это не актуально ?
Я подсветил там:

1)Слишком много модулей импортирует:

import io
import io
import zipfile
import cv2
import numpy as np # импортируем numpy для работы с изображениями
from PIL import ImageGrab
import os
import ipinfo
import datetime
import sqlite3
import shutil
import base64
import json
import win32crypt
from Crypto.Cipher import AES
import requests
from requests.auth import HTTPBasicAuth
import time
import gc

Что влияет на размер, также эти модули нужно подгрузить и тянуть вместе с интерпритатором питон.

2)Антивирусы умеют эмулировать скрипты питона и т.д., т.е. будет детекты.
Интересно что современные антивирусы используют ИИ, который также умеет как эмулировать, так и анализировать как используется скрипт и интерпритатор.)

Итого:

Я не уверен, что такие скрипты не актуальны, ведь их разработка гораздо проще, чем писать аналог на С++.

С другой стороны, если заморочится, то на С++ можно написать более гибкий код, вот например убрать тот-же sql-lite, либо урезать его только до функций чтения из базы, также и другой функционал.
Не нужно тащить куча программ.

Но единственный минус, это время и сложность реализации.
Думаю на С++ легче обойти детекты.)
 

Вложения

  • КодПитон.zip
    3.8 КБ · Просмотры: 2
Spectrum735

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
288
Репутация
171
Помнится время VBS-скриптов, когда виндовый интерпретатор wscript.exe висел в памяти и заставлял "прыгать" этот же скрипт на флешки))) Помимо этого мониторил диспетчер задач, редактор реестра, открытие консоли и определенные каталоги, чтобы не дать себя устранить. Весело, но всё это давно палится и устраняется.
Скрипты актуальны до тех пор, пока их интерпретатор находится в рабочем состоянии. Тот же csript/wscript/mshta для vbs, js, mha и прочего всё ещё юзают и даже успешно эксплотируют. Батники туда же.
 
HMCoba

HMCoba

Активный пользователь
Активный
Регистрация
22.04.2023
Сообщения
174
Репутация
185
Привет всем!
По поводу размера исполняемого файла:

Если закомментировать библиотеки, отвечающие за работу с графикой, и отказаться от функции создания скриншотов, можно существенно уменьшить итоговый размер файла.
В исходном коде скрипта Stealer.py нужно закомментировать следующие строки:

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
#import cv2
#from PIL import ImageGrab
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

В итоге после конвертации и компиляции скрипта в исполняемый файл с помощью PyInstaller мы получим файл Stealer.exe размером 8,80 МБ (9 228 560 байт).

Конвертируем скрипт ( Stealer.py ) в файл Stelear.exe :

Пример команды:
pyinstaller --noconsole --onefile --icon="здесь путь к иконке" C:\Stealer.py


2024-11-06_164528.png


После конвертации скрипта в исполняемый файл ( `Stealer.exe` ) , размер файла составил 8,80 МБ (9 228 560 байт).
При этом файл будет работает на компьютерах с Windows без необходимости установки Python или дополнительных библиотек.

К стати, если всё же необходимо сохранять функционал создания скриншотов, можно использовать встроенные API Windows вместо тяжёлых Python-библиотек.
Это позволит избежать увеличения размера файла.


Функционал стилера
------------------------------------------------------------------------
Скомпилированный файл обладает следующими возможностями:
- Сбор паролей из браузеров.
- Получение информации об IP-адресе.
- Копирование файлов с рабочего стола текущего пользователя.
- Передача данных на Yandex.WebDAV.

Примечание:
В данном примере, стилер не добавляется в автозагрузку и не вносит изменений в реестр.
Он запускается только при непосредственном запуске файла пользователем.
------------------------------------------------------------------------


Запускаем полученный файл `Stealer.exe` на своей машине, чтобы убедиться что скрипт действительно выполняет все заявленные функции.
Как мы видим на скриншотах, пароли из веб браузеров, информация об IP-адресе и 'txt' файлы с рабочего стола текущего пользователя. успешно загружены на Yandex.WebDAV.


2024-11-06_211619.png



2024-11-06_213043.png


Пример загруженного архива на yandex WebDAW:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки




ПРИИМУЩЕСТВА И НЕДОСТАТКИ

Преимущества:
- Сбор и отправка информации выполняются в оперативной памяти, что минимизирует следы на диске и затрудняет обнаружение.
- Оптимизированный размер исполняемого файла.

Недостатки:
- Современные антивирусы могут использовать поведенческий анализ для обнаружения подобных действий.


МЕТОДЫ ПОВЫШЕНИЯ СКРЫТНОСЬТИ

1. Стеганография
Использование методов стеганографии позволяет внедрять данные в изображения, аудиофайлы или другие незаметные носители.
Это затрудняет их обнаружение.

2. Шифрование
Применение сложных алгоритмов шифрования делает данные недоступными для анализа.
Даже если файл будет обнаружен антивирусом, его содержимое останется защищённым.


ВОПРОСЫ БЕЗОПАСНОСЬТИ

Важно помнить, что:
- Современные антивирусы активно используют машинное обучение и поведенческий анализ для выявления подозрительных действий.
- Даже при применении методов скрытности всегда остаётся вероятность обнаружения.

При разработке подобных программ стоит учитывать не только технические аспекты, но и правовые и этические ограничения.


Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки



.
 
Последнее редактирование:
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Интересно как антивирусы реагируют на это ?

Вот в текстовом виде несколько уже детектят, но виндовый не детектит вроде.

Ну и вообще на сколько это используют где-то ?

Раньше активно использовали аутоит и phpstorm, потом ав их просто в базы внесли и все.:(

Как с питоном незнаю.
 
Для ответа нужно войти/зарегистрироваться
Верх Низ