Meriç Değirmencioğlu tarafından yazılmıştır.
Merhaba yeni bir yazı dizisine başlıyorum ve bu yazı dizisinde python ile virüs kodlayacağız. Bir trojan virüsünü en basit hali ile ele alıp mantığını anladıktan sonra en basit hali ile koda dökeceğiz. Yazı dizisinin devamında bu virüsü geliştirip antivirüslerin anlayamayacağı hale getirip çeşitli d0000000000000osyaların içini gömeceğiz.
Bir program ile bilgisayarınıza yüklenen bu virüs arka planda gizli olarak çalışır. Buna yazı dizimizin devamında değineceğiz. Mesela en sinsi Truva Atı türlerinden biri, bilgisayarınızı virüslerden kurtardığını iddia eden ancak bunun yerine bilgisayarınıza Truva Atı bulaştıran bir programdır. Genellikle, Truva atı, masum görünümlü bir e-posta ekinde veya ücretsiz indirmede gizlenir. Bazen de birisinin size gönderdiği bir aile fotoğrafında bile olabilir. Kullanıcı e-posta ekini tıkladığında veya ücretsiz programı indirdiğinde, içine gizlenmiş olan kötü amaçlı yazılım kullanıcının bilgisayar aygıtına aktarılır, içeri girdikten sonra, kötü niyetli kod, saldırganın gerçekleştirmesi için tasarladığı görevi ne olursa olsun yürütebilir.
Şemada göründüğü gibi saldırgan bir sunucu aracılığı ile enfekte olmuş cihazları isteği doğrultusunda kontrol edebiliyor. Bu cihazlar artık birer zombi pc olmuştur çünkü artık kendi istekleri dışında birçok işlem yapabilecek durumdadır. Botnet saldırıları gibi çeşitli kötü emeller için kullanıma müsaitler. Ayrıca bilgi hırsızlığından tutun kripto para cüzdanlarının çalınıp saldırganların hesabına transfer edilmesine kadar birçok hayati tehlikeye sahip işlem gerçekleştirilebilir.
Server Kodları: https://paste.ubuntu.com/p/g6rr7kB9FY
Kodların yanlarında açıklamalar mevcut. Bu açıklamalardan yola çıkarak düzenlemeler yapabilirsiniz. Artık sunucu için dosyamız hazır şimdi ise virüs dosyamızı hazırlayalım.
Burada bize sunucuya kötü amaçlı çalıştıracağı kodları gönderen bir client gerekiyor. Sunucu aldığı bu kodları virüs bulaşmış bilgisayara gönderecek ve string olarak giden bu kodlar orada kod olarak işlenecek. Bunun nasıl yapıldığına ilerleyen satırlarda bakalım.
Saldırganın Kodları: https://paste.ubuntu.com/p/c8tdFjmCQ7/
Evet geldik virüs dosyamıza. Saldırgandan çıkan kodlar string olarak sunucuya gitti ve sunucu bu kodları yine string olarak bize getirdi. Bize gelen bu string ifadeyi direkt olarak çalıştırılabilir kod yapmak için pythonda bulunan şeytani fonksiyonlardan olan “exec” fonksiyonunu kullanacağız. Bu şekilde gönderdiğimiz komutlar karşı tarafta işleme alınacak.
Virüs Kodları: https://paste.ubuntu.com/p/CB7CC2bVY5/
Sunucuma ssh ile bağlandım ve server.py dosyamı çalıştırdım. Bağlanırken putty programını kullandım. Şu an server aktif. Şimdi Attacker ve virüs dosyamızı çalıştıralım. Virüs dosyasının uzantısını .pyw olarak kaydederseniz açıldığında herhangi bir pencere çıkmaz arka planda sessizce çalışır.
Şimdi bilgisayarı kapatmak için “os” modülünü kullanarak komut gönderelim. Virüs kendi bilgisayarımda fakat herhangi bir bilgisayarda olabilir çünkü arada sunucu var.
Evet bu yazıyı gördüğümüze göre virüsümüz çalışıyor demektir. Yazının sonraki bölümlerinde bunu daha profesyonelleştireceğiz. Bir sonraki yazımda görüşmek üzere “güvenli alanda kalın…”
[TR] Python İle Trojan Virüsü Yapımı | 1. Bölüm
ÖN SÖZ
Merhaba yeni bir yazı dizisine başlıyorum ve bu yazı dizisinde python ile virüs kodlayacağız. Bir trojan virüsünü en basit hali ile ele alıp mantığını anladıktan sonra en basit hali ile koda dökeceğiz. Yazı dizisinin devamında bu virüsü geliştirip antivirüslerin anlayamayacağı hale getirip çeşitli d0000000000000osyaların içini gömeceğiz.
TROJAN (TRUVA) NEDİR
Bir program ile bilgisayarınıza yüklenen bu virüs arka planda gizli olarak çalışır. Buna yazı dizimizin devamında değineceğiz. Mesela en sinsi Truva Atı türlerinden biri, bilgisayarınızı virüslerden kurtardığını iddia eden ancak bunun yerine bilgisayarınıza Truva Atı bulaştıran bir programdır. Genellikle, Truva atı, masum görünümlü bir e-posta ekinde veya ücretsiz indirmede gizlenir. Bazen de birisinin size gönderdiği bir aile fotoğrafında bile olabilir. Kullanıcı e-posta ekini tıkladığında veya ücretsiz programı indirdiğinde, içine gizlenmiş olan kötü amaçlı yazılım kullanıcının bilgisayar aygıtına aktarılır, içeri girdikten sonra, kötü niyetli kod, saldırganın gerçekleştirmesi için tasarladığı görevi ne olursa olsun yürütebilir.
ÇALIŞMA MANTIĞI VE ŞEMASI
Şemada göründüğü gibi saldırgan bir sunucu aracılığı ile enfekte olmuş cihazları isteği doğrultusunda kontrol edebiliyor. Bu cihazlar artık birer zombi pc olmuştur çünkü artık kendi istekleri dışında birçok işlem yapabilecek durumdadır. Botnet saldırıları gibi çeşitli kötü emeller için kullanıma müsaitler. Ayrıca bilgi hırsızlığından tutun kripto para cüzdanlarının çalınıp saldırganların hesabına transfer edilmesine kadar birçok hayati tehlikeye sahip işlem gerçekleştirilebilir.
SERVER DOSYASINI HAZIRLAYALIM
Server Kodları: https://paste.ubuntu.com/p/g6rr7kB9FY
Kodların yanlarında açıklamalar mevcut. Bu açıklamalardan yola çıkarak düzenlemeler yapabilirsiniz. Artık sunucu için dosyamız hazır şimdi ise virüs dosyamızı hazırlayalım.
SALDIRGANIN DOSYASINI HAZIRLAYALIM
Burada bize sunucuya kötü amaçlı çalıştıracağı kodları gönderen bir client gerekiyor. Sunucu aldığı bu kodları virüs bulaşmış bilgisayara gönderecek ve string olarak giden bu kodlar orada kod olarak işlenecek. Bunun nasıl yapıldığına ilerleyen satırlarda bakalım.
Saldırganın Kodları: https://paste.ubuntu.com/p/c8tdFjmCQ7/
VİRÜS DOSYASINI HAZIRLAYALIM
Evet geldik virüs dosyamıza. Saldırgandan çıkan kodlar string olarak sunucuya gitti ve sunucu bu kodları yine string olarak bize getirdi. Bize gelen bu string ifadeyi direkt olarak çalıştırılabilir kod yapmak için pythonda bulunan şeytani fonksiyonlardan olan “exec” fonksiyonunu kullanacağız. Bu şekilde gönderdiğimiz komutlar karşı tarafta işleme alınacak.
Virüs Kodları: https://paste.ubuntu.com/p/CB7CC2bVY5/
DENEME YAPALIM
Sunucuma ssh ile bağlandım ve server.py dosyamı çalıştırdım. Bağlanırken putty programını kullandım. Şu an server aktif. Şimdi Attacker ve virüs dosyamızı çalıştıralım. Virüs dosyasının uzantısını .pyw olarak kaydederseniz açıldığında herhangi bir pencere çıkmaz arka planda sessizce çalışır.
Şimdi bilgisayarı kapatmak için “os” modülünü kullanarak komut gönderelim. Virüs kendi bilgisayarımda fakat herhangi bir bilgisayarda olabilir çünkü arada sunucu var.
SON SÖZ
Evet bu yazıyı gördüğümüze göre virüsümüz çalışıyor demektir. Yazının sonraki bölümlerinde bunu daha profesyonelleştireceğiz. Bir sonraki yazımda görüşmek üzere “güvenli alanda kalın…”
Moderatör tarafında düzenlendi: