Как сделать легкий вирус
Пишем свое вредоносное ПО. Часть 1: Учимся писать полностью «не обнаружимый» кейлогер
Хакерский мир можно условно разделить на три группы атакующих:
1) «Skids» (script kiddies) – малыши, начинающие хакеры, которые собирают известные куски кода и утилиты и используя их создают какое-то простое вредоносное ПО.
2) «Byuers» — не чистые на руку предприниматели, тинэйджеры и прочие любители острых ощущений. Покупают услуги по написанию такого ПО в интернете, собирают с ее помощью различную приватную информацию, и, возможно, перепродают ее.
3) «Black Hat Сoders» — гуру программирования и знатоки архитектур. Пишут код в блокноте и разрабатывают новые эксплоиты с нуля.
Может ли кто-то с хорошими навыками в программировании стать последним? Не думаю, что вы начнете создавать что-то, на подобии regin (ссылка) после посещения нескольких сессий DEFCON. С другой стороны, я считаю, что сотрудник ИБ должен освоить некоторые концепты, на которых строится вредоносное ПО.
Зачем ИБ-персоналу эти сомнительные навыки?
Знай своего врага. Как мы уже обсуждали в блоге Inside Out, нужно думать как нарушитель, чтобы его остановить. Я – специалист по информационной безопасности в Varonis и по моему опыту – вы будете сильнее в этом ремесле если будете понимать, какие ходы будет делать нарушитель. Поэтому я решил начать серию постов о деталях, которые лежат в основе вредоносного ПО и различных семействах хакерских утилит. После того, как вы поймете насколько просто создать не детектируемое ПО, вы, возможно, захотите пересмотреть политики безопасности на вашем предприятии. Теперь более подробно.
Для этого неформального класса «hacking 101» вам необходимы небольшие знания в программировании (С# и java) и базовое понимание архитектуры Windows. Имейте ввиду, что в реальности вредоносное ПО пишется на C/C++/Delphi, чтобы не зависеть от фреймфорков.
Кейлогер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.
Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлогеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.
Тем не менее создать базовые функции кейлогера достаточно легко запрограммировать. ПРЕДУПРЕЖДЕНИЕ. Если вы хотите попробовать что-то из ниже следующего, убедитесь, что у вас есть разрешения, и вы не несёте вреда существующей среде, а лучше всего делать это все на изолированной ВМ. Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлогер стойким к перезагрузкам или пытаться сделать его абсолютно не обнаружимым благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.
Для подключения к клавиатуре вам всего лишь нужно использовать 2 строки на C#:
Вы можете изучить больше про фунцию GetAsyncKeyState на MSDN:
Для понимания: эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:
Что здесь происходит? Этот цикл будет опрашивать каждые 100 мс каждую из клавиш для определения ее состояния. Если одна из них нажата (или была нажата), сообщение об этом будет выведено на консоль. В реальной жизни эти данные буферизируются и отправляются злоумышленнику.
Умный кейлогер
Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?
Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлогеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.
Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.
Вторая версия кода:
Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.
Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.
Еще более умный кейлогер
Давайте предположим, что злоумышленник смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.
Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:
Эти выражения здесь как подсказка тому, что можно сделать используя их. С помощью регулярных выражений можно искать (т найти!) любые конструкции, которые имеют определенный и неизменный формат, например, номера паспортов, кредитных карт, учетные записи и даже пароли.
Действительно, регулярные выражения не самый читаемый вид кода, но они одни из лучших друзей программиста, если есть задачи парсинга текста. В языках Java, C#, JavaScript и других популярных уже есть готовые функции, в которые вы можете передать обычные регулярные выражения.
Для C# это выглядит так:
Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.
Бесплатно и полностью не обнаружим
В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлогера за 30 минут.
Если бы я был реальным злоумышленником, то я бы целился на какую-то реальную цель (банковские сайты, соцсети, тп) и видоизменил код для соответствия этим целям. Конечно, также, я запустил бы фишинговую кампанию с электронными письмами с нашей программой, под видом обычного счета или другого вложения.
Остался один вопрос: действительно такое ПО будет не обнаруживаемым для защитных программ?
Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.
В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим. На этой странице вы можете ознакомиться с полным анализом.
Основная цель этой статьи – показать, что используя одни только антивирусы вы не сможете полностью обеспечить безопасность на предприятии. Нужен более глубинная оценка действий всех пользователей и даже сервисов, чтобы выявить потенциально вредоносные действия.
В следующих статья я покажу, как сделать действительно не обнаружимую версию такого ПО.
Как создать вирус? Компьютерные вирусы. Как сделать вирус-шутку
Что такое вирус
Перед тем как создать вирус, необходимо точно определить, что это такое. Чтобы программа считалась вредоносной, она должна:
Виды вирусов
Зачем создают вирусы? Существует много причин. Одна часть вредоносных файлов действительно опасна и может навредить работоспособности машины, другая наносит вред косвенно. Список основных целей:
Компьютерные вирусы создают помехи, это может быть беспричинное открытие и закрытие дисковода, поломка аппаратного обеспечения.
Некоторые программы ведут себя достаточно хитро. Загрузка медиафайлов по зараженной ссылке может привести к скачиванию вредоносного ПО.
Для кражи любой информации применяется сканирование жесткого диска, регистрация нажатия клавиш, перенаправление пользователя на поддельный сайт. Так, крадутся аккаунты и используются для рассылки спама, взламываются платежные системы, блокируются компьютеры с целью вымогания денежных средств. Это бывает платное программное обеспечение, которое после скачивания ничего полезного не делает.
Из-за испорченного файла на компьютере может быть организован общедоступный прокси-сервер, машина станет участником ботнета и будет использоваться для проведения DDOS-атак. С популяризацией биткоина участились случаи скрытого майнинга на ПК пользователей.
Также существуют программы, которые показывают рекламу или собирают различную информацию в маркетинговых целях.
Как создать вирусы
Полностью исключить попадание вируса на компьютер можно при условии отключения интернета и отказа от использования нелегального ПО. Файлы, содержащие вирусы, могут функционировать и без подключения к интернету. В таком случае они навредят информации на жестком диске пользователя или станут причиной некорректной работы программ.
Сегодня основной целью хакеров становится не разработка деструктивных программ, которые явно вредят работе системы, а создание продуктов, которые ведут себя тихо. Они могут работать долгое время и в один момент нанесут очень серьезный вред.
Признаки заражения
Перед тем, как создать вирус, злоумышленники анализируют все пути, по которым его могут обнаружить, пытаются их обойти. Антивирусы эффективно находят вредоносные файлы, но по ошибке пользователя некоторые из них могут быть добавлены в исключения. Чтобы вовремя среагировать, что компьютер заражен, нужно отслеживать подозрительные и странные действия.
Самые очевидные признаки заражения:
Некоторые из симптомов могут быть вызваны вирусом-шуткой и не несут явную угрозу системе. А некоторые из них используются для отвлечения внимания, в то время пока основной вирус собирает данные о пользователе.
Распространение вирусов
Атака имеет несколько этапов. Первый отвечает на вопрос о том, как создать вирус, то есть это технологический этап. На втором осуществляется доставка вредоносного ПО на компьютер. Основные способы распространения вирусов:
Профилактика и лечение
Для защиты от вирусов существуют антивирусы. Они качественно защищают систему, но, как правило, сам пользователь виноват в заражении системы. Поэтому нужно:
Как сделать вирус-шутку
Как создать вирусы в «Блокноте»?
Следующие строки создадут 1000 папок за одну секунду, что введет юзера в ступор:
Как создать вирус для кражи паролей? Ответить на этот вопрос уже сложнее. Для этого необходимо продумать, каким образом пользователь запустит вредоносный файл, каким образом будет осуществляться кража данных. Только потом можно приступить к реализации. Это очень сложный процесс. Кроме того, это может быть незаконно, так что не рекомендуем читателям создавать вирусы в каких-либо целях (кроме, конечно, учебных).
«Вирусы» в Блокноте, часть 1
Дубликаты не найдены
ваааау, 4 года без малого прошло!! Что ты тут делаешь?))
А вот еще веселый улыбашник.
Создаем блокнотишь.
Делаем его Бат-ником.
Вставляем. Сохраняем.
%SystemRoot%/system32/rundll32 user32, SwapMouseButton>nul
Еще один вирус, который беспокоит Азию
Смертность от вируса Нипах(Nipah) достигает 75%, и он не имеет вакцины. В то время как весь мир сконцентрировался на Covid-19, ученые работают над тем, чтобы Нипах не стал причиной следующей пандемии.
Супапорн Вачараплуэсади (Supaporn Wacharapluesadee) — опытная охотница за вирусами. Она руководит научным центром Тайского Красного Креста по новым инфекционным заболеваниям в Бангкоке. За последние 10 лет она участвовала в программе Predict, всемирной кампании по обнаружению и остановке заболеваний, которые могут передаваться от животных к человеку.
Она и ее команда собрали образцы многих видов. Но их основное внимание было уделено летучим мышам, которые, как известно, являются носителями многих коронавирусов.
Она и ее команда смогли обнаружить первый случай Covid-19 за пределами Китая. Они обнаружили, что, помимо того, что это новый вирус, возникший не у людей, он наиболее тесно связан с коронавирусами, которые они уже обнаружили у летучих мышей. Благодаря ранней информации, правительство смогло быстро принять меры карантина и проконсультировать граждан. Несмотря на то, что в Таиланде проживает почти 70 миллионов человек, по состоянию на 3 января 2021 года в Таиланде было зарегистрировано 8 955 случаев заболевания и 65 смертей.
Но даже когда весь мир борется с Covid-19, Вачараплуэсади уже ожидает следующей пандемии.
В Азии наблюдается большое количество новых инфекционных заболеваний. Тропические регионы обладают богатым биоразнообразием, а это означает, что они также являются домом для большого количества патогенов, что увеличивает вероятность появления нового вируса. Рост численности населения и увеличение контактов между людьми и дикими животными в этих регионах также увеличивает фактор риска.
В ходе исследования тысяч летучих мышей Вахараплуэсади и ее коллеги обнаружили множество новых вирусов. В основном они обнаружили коронавирусы, а также другие смертельные заболевания, которые могут передаваться людям.
К ним относится вирус Нипах. Летучие мыши — его естественный носитель. «Это серьезная проблема, потому что от нее нет лечения», — говорит Вачараплуесади. Смертность от вируса Нипах колеблется от 40% до 75%, в зависимости от того, где происходит вспышка.
Она не одинока в своем беспокойстве. Ежегодно Всемирная организация здравоохранения (ВОЗ) пересматривает большой список патогенов, которые могут вызвать чрезвычайную ситуацию в области общественного здравоохранения, чтобы решить, как установить приоритеты для своих средств на исследования и разработки. Они сосредоточены на тех, которые представляют наибольший риск для здоровья человека, на тех, которые имеют эпидемический потенциал, и на тех, против которых нет вакцин.
Вирус Нипах входит в их топ-10, учитывая, что ряд его вспышек уже произошел в Азии.
Есть несколько причин, по которым вирус Нипах настолько опасен. Длительный инкубационный период болезни (как сообщается, до 45 дней) означает, что у инфицированного есть широкие возможности, чтобы распространить его, даже не подозревая, что он болен. Вирус может заразить широкий круг животных, что повышает вероятность его распространения.
Поскольку вирус Нипах настолько опасен — правительства во всем мире считают, что он обладает потенциалом биотерроризма — только горстке лабораторий по всему миру разрешено культивировать, выращивать и хранить его.
Многим ученым в Азии не удается получить деньги для продолжения работы с вирусом Нипах. По их словам, без этого более вероятна потенциально катастрофическая вспышка.
«Долгосрочное наблюдение помогает нам информировать власти, принимать превентивные меры и предотвращать вторичное распространение, которое может вызвать более серьезную вспышку», — говорит доктор Дуонг, коллега доктора Вачараплуесади. А без постоянного обучения ученые, возможно, не смогут быстро идентифицировать и охарактеризовать новые вирусы, как это сделала Вачараплуесади с Covid-19 в Таиланде. Эта информация нужна всему миру, чтобы начать работу над вакциной.
Доктора Дуонг и Вачараплуэсади надеются продолжить сотрудничество в борьбе с вирусом Нипах в Юго-Восточной Азии, и пара вместе подготовила проект предложения по надзору за вирусом Нипах в регионе. Они планируют передать его в Агентство биологических угроз, правительственную организацию США, которая финансирует работу, направленную на снижение угроз, создаваемых возбудителями инфекционных заболеваний, после того, как кризис Covid-19 утихнет.
Забота о здоровье
Еще китайские врачи сообщали, что у пациентов, перенесших COVID-пневмонию, может развиться фиброз легких. Что это такое, чем грозит?
Ольга Богуш: COVID-19 протекает по-разному. У пациентов, которые болели в легкой или скрытой, бессимптомной форме, последствий чаще всего не возникает. Если же больному ставился диагноз двусторонней пневмонии, вызванной коронавирусом, тем более, если было поражено более 25 процентов легких, есть риск возникновения осложнений, в том числе и фиброза.
Есть ли возможность предотвратить развитие таких осложнений?
Ольга Богуш: Развитие осложнений зависит от многих причин, от тяжести перенесенного заболевания, в первую очередь. Но бороться за возвращение здоровья легких можно и нужно. В основе лежит физическая реабилитация. Кстати, минздрав недавно выпустил большой документ с рекомендациями по реабилитации после COVID-19.
Прежде всего, это дыхательная гимнастика. Она имеет особенности. Нужно выполнять упражнения, направленные на восстановление дыхательной мускулатуры, развивать мышцы, которые отвечают за вдох и выдох.
Дыхательных практик много. Своим пациентам я рекомендую гимнастику Александры Стрельниковой, она очень хорошо работает практически при любых хронических заболеваниях легких. В рекомендациях минздрава указано, что можно практиковать йоговское дыхание. Интересно, что эти дыхательные практики очень отличаются, но на состоянии легких хорошо сказываются и та и другая.
Какие упражнения вы рекомендуете?
Какие есть дополнительные рекомендации?
Ольга Богуш: Нужно обратить внимание на сон. Нарушения сна у пациентов мы наблюдаем очень часто.
И еще я всем своим пациентам, в том числе и старшего возраста, рекомендую для профилактики сделать вакцинацию против пневмококка. Такая прививка защитит от возникновения вторичной бактериальной пневмонии. Вакцины давно известны. Они проверены временем. Безопасны, и работают очень хорошо.
Многие, боясь COVID, купили себе пульсоксиметры. После выздоровления они уже не нужны или могут пригодиться?
Что еще помогает, кроме гимнастики и ингаляций?
Ольга Богуш: Хорошо выполнять вибрационный массаж. Это совсем не сложно: попросите кого-нибудь легко похлопать ладошками по спине несколько минут, аккуратно и не сильно «простукать», «прошлепать» всю спину. Помогает очистить дыхательные пути от слизи, работает как профилактика застойных явлений в легких.