Non so consigliarti molto poichè non ho molta esperienza in creazione malware.
Ho tentato di fare una botnet, sono riuscito a inserire solo downloadExecute, keylogger e ClipBoard swap.
Stavo per inserire lo stealing delle password salvate ma mi sono fermato e ti dico perchè:
Da come ho visto in giro, per iniziare un buon malware non usa librerie esterne.
La mia build con poche funzioni era di 700kb.
Una buona build di un malware non pesa piu di 70/80kb.
Esistono vari tipi di malware.(TI parlo di botnet ora).
La Classica "Loader": E' un malware che fa download and execute solitamente è usata appunto per mettere altri malware dentro i bot già infettati.
Una buona loader pesa poco,è programmata con codice polimorfico(Non sono esperto sull'argomento).
Il poliformismo teoricamente modifica il codice ogni run time, così da essere difficilmente piu rilevabile.
Una buona Loader è espandibile ad altri moduli come ad esempio lo stealer delle password magari o un keylogger o un formgrabber(Dipende da chi la fa ovviamente).
Un buon malware deve avere persistenza. Deve inserirsi nei registri e riavviarsi all'avvio.
Cosa importante, deve riuscire a bypassare l'UAC di windows per i privilegi di admin, altrimenti al reboot, funzioni che richiedono i permessi come ad esempio un download da PowerShell non funzioneranno.
Lo Stealer: E' un malware che punta principalmente a rubare password salvate di chrome firefox e relativi cookies per clonare l'identità dell'utente.
Ci si può aggiungere un form grabber.
Un form grabber è un malware che modifica relativi file di chrome e/o Firefox e ad ogni form(quindi ogni campo di login) verrà salvato e inviato ad un ipotetico server in un ipotetico database.
BankingBotnet: Anche qui non sono esperto nel dettaglio e spero di non dire balle, ma una banking botnet contiene delle cose chiamate "WebInject" che modificano la Response del web browser.
Esempio: Io sono infetto, sto andando sul sito della mia banca, vado in https://www.miabanca.it/login a questo punto interviene il malware, se l'inject della mia banca è presente, invece di ritrovarmi il sito della mia banca, mi ritrovero si la login magari, ma con la risposta del browser modificata, magari con 4/5 campi in piu che mi chiedono Nome Cognome ecc...
Immagina di aprire un sito con la login, apri l'inspector copia il codice del Form di login e incollalo ancora, così avrai piu campi da "riempire".
Teoricamente questo è un webInject.
HRDP / HVNC: Passiamo ad ora a queste funzioni molto importanti in un malware.
L'HRDP(HiddenRemoteDesktop) Crea nel tuo computer un account RDP extra di solito con reverse connection verso il server(Colui che controlla il tutto) e riesce a collegarsi al tuo pc senza che tu te ne accorga con un altro account. (Richiesto bypass UAC lo stesso).
HVNC(HiddenVNC): Ancora meglio, Permette di collegarsi alla tua stessa sessione, usare il tuo pc, senza che tu ti accorga di una virgola.
Quindi attenzione se ti infettano con questo potranno usare la tua sessione, i tuoi cookeis le tue password salvate, senza l'intervento di stealer "di terze parti".
Sulle rat non mi espongo, so cosa sono ma non so come sono fatte quindi non ti dirò nulla al riguardo.
Ransomware: non penso vada spiegato.
Worm è un bot che tramite exploit continua a infettarsi nella rete.
Oppure un bot che cracca le RDP. (Questo si potrebbe fare in python/ruby).
----------------------------------
Qualsiasi backdoor malware in python te lo sconsiglio propio perchè anche una semplice backdoor con 4/5 funzioni dopo averla compilata pesa 9mb... Infattibile e ti spiego perchè.
Mettiamo che tu programmi il tuo Malware, Mettiamo che sia un buonissimo malware, stabile efficente e fa quello che deve.
Come lo lanciamo in giro ?
Gli hacker usano principalmente, Exploit Kit Privati(Che tu non hai).
Silent PDF exploit e Doc exploit. (Che tu non hai).
Supponiamo che tu hai questo PDF silent exploit(Apre un file PDF e parte un codice magari che scarica il tuo file da remoto e lo esegue nel pc).
Ai voglia a scaricare 9mb di build di malware.
Ecco perchè devono essere molto leggeri.
Lasciando fuori poi il discorso di ExecutionRate.
Di malware online su github ne trovi parecchi.
Studiare sui sorgenti altrui è abbastanza difficile.
Buoni malware aggiornati pubblici non ne troverai mai neanche per fini di studio,
Se vuoi farti una cultura sui Malware questo non è il forum giusto.
Io mi ci dedico per hobby e ti assicuro che per quanto ci sono stato dietro è come se non ne sapessi niente.
E' un terreno molto duro, con poche, pochissime documentazioni decenti.
Ah ovviamente il tuo malware privato in un primo tempo reggerà, poi successivamente magari andrà criptato(Ove non mi espongo perchè troppo inesperto in materia).
Spero di averti dato un infarinatura generale.
Buona serata.
Ho tentato di fare una botnet, sono riuscito a inserire solo downloadExecute, keylogger e ClipBoard swap.
Stavo per inserire lo stealing delle password salvate ma mi sono fermato e ti dico perchè:
Da come ho visto in giro, per iniziare un buon malware non usa librerie esterne.
La mia build con poche funzioni era di 700kb.
Una buona build di un malware non pesa piu di 70/80kb.
Esistono vari tipi di malware.(TI parlo di botnet ora).
La Classica "Loader": E' un malware che fa download and execute solitamente è usata appunto per mettere altri malware dentro i bot già infettati.
Una buona loader pesa poco,è programmata con codice polimorfico(Non sono esperto sull'argomento).
Il poliformismo teoricamente modifica il codice ogni run time, così da essere difficilmente piu rilevabile.
Una buona Loader è espandibile ad altri moduli come ad esempio lo stealer delle password magari o un keylogger o un formgrabber(Dipende da chi la fa ovviamente).
Un buon malware deve avere persistenza. Deve inserirsi nei registri e riavviarsi all'avvio.
Cosa importante, deve riuscire a bypassare l'UAC di windows per i privilegi di admin, altrimenti al reboot, funzioni che richiedono i permessi come ad esempio un download da PowerShell non funzioneranno.
Lo Stealer: E' un malware che punta principalmente a rubare password salvate di chrome firefox e relativi cookies per clonare l'identità dell'utente.
Ci si può aggiungere un form grabber.
Un form grabber è un malware che modifica relativi file di chrome e/o Firefox e ad ogni form(quindi ogni campo di login) verrà salvato e inviato ad un ipotetico server in un ipotetico database.
BankingBotnet: Anche qui non sono esperto nel dettaglio e spero di non dire balle, ma una banking botnet contiene delle cose chiamate "WebInject" che modificano la Response del web browser.
Esempio: Io sono infetto, sto andando sul sito della mia banca, vado in https://www.miabanca.it/login a questo punto interviene il malware, se l'inject della mia banca è presente, invece di ritrovarmi il sito della mia banca, mi ritrovero si la login magari, ma con la risposta del browser modificata, magari con 4/5 campi in piu che mi chiedono Nome Cognome ecc...
Immagina di aprire un sito con la login, apri l'inspector copia il codice del Form di login e incollalo ancora, così avrai piu campi da "riempire".
Teoricamente questo è un webInject.
HRDP / HVNC: Passiamo ad ora a queste funzioni molto importanti in un malware.
L'HRDP(HiddenRemoteDesktop) Crea nel tuo computer un account RDP extra di solito con reverse connection verso il server(Colui che controlla il tutto) e riesce a collegarsi al tuo pc senza che tu te ne accorga con un altro account. (Richiesto bypass UAC lo stesso).
HVNC(HiddenVNC): Ancora meglio, Permette di collegarsi alla tua stessa sessione, usare il tuo pc, senza che tu ti accorga di una virgola.
Quindi attenzione se ti infettano con questo potranno usare la tua sessione, i tuoi cookeis le tue password salvate, senza l'intervento di stealer "di terze parti".
Sulle rat non mi espongo, so cosa sono ma non so come sono fatte quindi non ti dirò nulla al riguardo.
Ransomware: non penso vada spiegato.
Worm è un bot che tramite exploit continua a infettarsi nella rete.
Oppure un bot che cracca le RDP. (Questo si potrebbe fare in python/ruby).
----------------------------------
Qualsiasi backdoor malware in python te lo sconsiglio propio perchè anche una semplice backdoor con 4/5 funzioni dopo averla compilata pesa 9mb... Infattibile e ti spiego perchè.
Mettiamo che tu programmi il tuo Malware, Mettiamo che sia un buonissimo malware, stabile efficente e fa quello che deve.
Come lo lanciamo in giro ?
Gli hacker usano principalmente, Exploit Kit Privati(Che tu non hai).
Silent PDF exploit e Doc exploit. (Che tu non hai).
Supponiamo che tu hai questo PDF silent exploit(Apre un file PDF e parte un codice magari che scarica il tuo file da remoto e lo esegue nel pc).
Ai voglia a scaricare 9mb di build di malware.
Ecco perchè devono essere molto leggeri.
Lasciando fuori poi il discorso di ExecutionRate.
Di malware online su github ne trovi parecchi.
Studiare sui sorgenti altrui è abbastanza difficile.
Buoni malware aggiornati pubblici non ne troverai mai neanche per fini di studio,
Se vuoi farti una cultura sui Malware questo non è il forum giusto.
Io mi ci dedico per hobby e ti assicuro che per quanto ci sono stato dietro è come se non ne sapessi niente.
E' un terreno molto duro, con poche, pochissime documentazioni decenti.
Ah ovviamente il tuo malware privato in un primo tempo reggerà, poi successivamente magari andrà criptato(Ove non mi espongo perchè troppo inesperto in materia).
Spero di averti dato un infarinatura generale.
Buona serata.
