• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Вопрос Скрипт вирусы, почему не актуально ?


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 196
Репутация
8 326
1730802338578.png


Всем привет, тут вчера на форуме была создана а потом удалена тема, с причиной "Неактуально!"

В этой теме был выложен скрипт на питон, он-же во вложении.
Пароль:111

Вкратце скрипт делает следующее:

Данный скрипт собирает информацию с компьютера на котором был запущен скрипт и загружает её на веб сервер WebDAV.
При запуске скрипт работает в фоновом режиме и добавляется в автозагрузку Windows для автоматического запуска при каждом входе в систему.
Что делает скрипт:
Автозагрузка :
Скрипт добавляется в реестр Windows (`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`) с указанием пути текущего исполняемого файла.
После первого запуска скрипт будет запускаться автоматически при каждом входе в систему.
Сбор информации :
IP-адрес: Получает информацию об IP через API ipinfo.io.
Пароли браузеров: Извлекает и расшифровывает пароли из Google Chrome, Edge и Brave.
Файлы с рабочего стола: Собирает все `.txt` файлы с рабочего стола.
Изображения: Делает снимок с веб-камеры и скриншот рабочего стола.
Создание архива :Все собранные данные упаковываются в ZIP-архив в памяти без сохранения временных файлов на диск.
Загрузка на WebDAV : При каждом запуске скрипта, архив создаётся с уникальным именем и загружается из памяти на сервер WebDAV .
Например, на (Яндекс.Диск). Если загрузка не удалась, скрипт повторяет попытку до 3 раз с интервалом в 10 секунд.
Завершение работы : После успешной загрузки или исчерпания попыток скрипт завершает работу, вызывая сборщик мусора для очистки памяти.
При следующем запуске системы скрипт снова выполнит сбор данных и загрузку.
Основные задачи :

1. Извлечение и загрузка паролей.
2. Сбор файлов и изображений.
3. Упаковка и передача данных на удалённый сервер.
4. Автоматический перезапуск при входе в систему.

Вопрос а почему это не актуально ?
Я подсветил там:

1)
Слишком много модулей импортирует:

import io
import io
import zipfile
import cv2
import numpy as np # импортируем numpy для работы с изображениями
from PIL import ImageGrab
import os
import ipinfo
import datetime
import sqlite3
import shutil
import base64
import json
import win32crypt
from Crypto.Cipher import AES
import requests
from requests.auth import HTTPBasicAuth
import time
import gc

Что влияет на размер, также эти модули нужно подгрузить и тянуть вместе с интерпритатором питон.

2)Антивирусы умеют эмулировать скрипты питона и т.д., т.е. будет детекты.
Интересно что современные антивирусы используют ИИ, который также умеет как эмулировать, так и анализировать как используется скрипт и интерпритатор.)

Итого:

Я не уверен, что такие скрипты не актуальны, ведь их разработка гораздо проще, чем писать аналог на С++.

С другой стороны, если заморочится, то на С++ можно написать более гибкий код, вот например убрать тот-же sql-lite, либо урезать его только до функций чтения из базы, также и другой функционал.
Не нужно тащить куча программ.

Но единственный минус, это время и сложность реализации.
Думаю на С++ легче обойти детекты.)
 

Вложения

  • КодПитон.zip
    3.8 КБ · Просмотры: 2

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
297
Репутация
175
Помнится время VBS-скриптов, когда виндовый интерпретатор wscript.exe висел в памяти и заставлял "прыгать" этот же скрипт на флешки))) Помимо этого мониторил диспетчер задач, редактор реестра, открытие консоли и определенные каталоги, чтобы не дать себя устранить. Весело, но всё это давно палится и устраняется.
Скрипты актуальны до тех пор, пока их интерпретатор находится в рабочем состоянии. Тот же csript/wscript/mshta для vbs, js, mha и прочего всё ещё юзают и даже успешно эксплотируют. Батники туда же.
 

HMCoba

Активный пользователь
Активный
Регистрация
22.04.2023
Сообщения
171
Репутация
173
Привет всем! По поводу размера исполняемого файла:

------------------------------------------------------------------------
import io
import zipfile
#import cv2
#from PIL import ImageGrab
import os
import ipinfo
import datetime
import sqlite3
import shutil
import base64
import json
import win32crypt
from Crypto.Cipher import AES
import requests
from requests.auth import HTTPBasicAuth
import time
import gc
------------------------------------------------------------------------

Если закомментировать библиотеки, отвечающие за работу с графикой, и отказаться от функции создания скриншотов, можно существенно уменьшить итоговый размер файла.
После конвертации и компиляции скрипта в исполняемый файл с помощью PyInstaller мы получим файл Stealer.exe размером 8,80 МБ (9 228 560 байт).

Конвертируем скрипт в Stealer.exe файл:

2024-11-06_164528.png


К тому же теперь файл будет работать на компьютерах с Windows без необходимости установки Python и дополнительных библиотек.


Script.py


В этом примере стилер не добавляется в автозагрузку и не вносит изменений в реестр - он запускается только при непосредственном запуске файла Stealer.exe пользователем.
Я запустил скопелированный файл и протестировал работу стилера с отключённой защитой Windows, чтобы убедиться, что скрипт действительно выполняет все заявленные функции.
Пароли из браузеров, информация об IP-адресе и файлы с рабочего стола текущего пользователя успешно загружаются на Yandex.WebDAV.

К стати, если всё таки нужно что бы стилер делал скриншоты не увеличивая размер файла, вместо использования громоздких Python-библиотек можно воспользоваться встроенной
API-функцией Windows для захвата экрана.


2024-11-06_211619.png



2024-11-06_213043.png




Пример полученного результата, который вернул запущенный скрипт на удаленной машине ( Учётные данные изменены )!

Сбор и отправка информации происходят в оперативной памяти, что позволяет минимизировать следы на диске и затруднить обнаружение.

Однако вопрос о том, будут ли антивирусы отслеживать подобные действия, остаётся открытым, так как современные антивирусные программы активно используют поведенческий анализ.

Для повышения скрытности можно применить несколько методов обхода антивирусных систем:

1. Стеганография:
Одним из способов сокрытия информации является использование стеганографии - внедрение данных в незаметные носители, такие как изображения, аудиофайлы или другие безвредные файлы. Этот метод помогает скрыть конфиденциальные данные, затрудняя их обнаружение.

2. Шифрование:
Применение сложных алгоритмов шифрования данных делает их содержимое недоступным для анализа.
Таким образом, даже если антивирусная система обнаружит файл, она не сможет сразу распознать его назначение и содержимое.


Стоит учитывать, что более продвинутые системы анализа, такие как поведенческий анализ и машинное обучение, могут иногда
распознать подозрительную активность, особенно если файлы взаимодействуют с системой.
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 196
Репутация
8 326
Интересно как антивирусы реагируют на это ?

Вот в текстовом виде несколько уже детектят, но виндовый не детектит вроде.

Ну и вообще на сколько это используют где-то ?

Раньше активно использовали аутоит и phpstorm, потом ав их просто в базы внесли и все.:(

Как с питоном незнаю.
 
Верх Низ