Que tal? Estaba leyendo el post sobre propagación a traves de torrent de hace un rato, y casualmente estaba interesado en éste tema. Aprendí a programar en mi carrera y aprendí algunas cosas relacionadas a la seguridad leyendo en internet, pero nunca utilice lo que se de programación para nada más que algún u otro script que me facilite algo... Pero ahora me gustaría construir un gusano de a poco, utilizando cosas que aprendí sobre seguridad, sobre un programa que automatice todo... Primero quería plantear más o menos el esquema y se me ocurrió también implementar una idea que quería saber si ya es aplicada, o si aplicarla no sería tan sencillo o rentable.
Supongamos que el gusano está enfocado en afectar a sistemas Windows, y cuando se ejecuta sobre una PC, posee funciones para propagarse por torrent, por email, por usb, y otras dos funciones para propagarse sobre computadoras de su red:
1-Buscar puertos 445 abiertos en todos los hosts de la red e intentar vulnerarlos a través de Eternalblue.
2-Hacer DNS Spoofing y redirigir todo a un servidor controlado por el atacante que intente explotar vulnerabilidades de navegadores y pluggins.
Bueno, supongamos que tenemos todas éstas capacidades de propagación. Se me ocurrió también aplicar las dos funciones anteriores sobre otra red distinta a la que se encuentra la pc afectada por el malware.... Pensé en éste esquema:
-Buscar dispositivos inalámbricos conectados.
-Si hay mas de uno, verificar si se se encuentran conectados en redes inalámbricas distintas, en tal caso, aplicar las dos funciones anteriores en ambas redes.
-Colocar el dispositivo inalámbrico con mayor potencia/hardware detectado entre todos los que hay en modo monitor.
-Escanear redes inalámbricas cercanas en busca de WEPs.
-Por cada WEP detectada, intentar crackearla.
-Una vez crackeada, autenticarse en esa red y aplicar las dos funciones anteriores.
Podría agregarse alguna funcionalidad para crackear WPS también... O algún ataque de ingeniería social...
Finalmente, tendríamos los siguiente métodos de propagación:
-Torrent (dejar una semilla en cada PC infectada)
-Email (ingenieria social con el malware adjunto a las direcciones de correo que encuentre en la PC)
-USB (copiar el malware en los pendrive que encuentre y agregarle un autorun.inf)
-Red:(explotar fallo Eternalblue y vulnerabilidades de navegadores)
-Otras redes:(crackear redes wifi cercanas)
Bueno... Por ahora son solo ideas. Yo pienso que al tener tanta funcionalidad de propagación el malware podría llegar a ser muy pesado y se me hace dificil pensar en como integrar toda esa funcionalidad, ya que por ejemplo me gustaría aprovechar la suite de aircrack u otros scripts y embeberlos en el malware y no tener que implementar toda la funcionalidad de crackeo desde 0...
Dudas:
En primer lugar me gustaría saber si es posible y rentable embeber por ejemplo la suite de aircrack en nuestro malware. O por ejemplo embeber el fuzzbunch a la hora de explotar el fallo eternalblue.
Por otra parte tengo la duda de que si cuanto más funcionalidades de propagación le agregue, el malware se vuelve cada vez más facil de ser detectado por la heurística del antivirus...
Finalmente quería saber si se les ocurren o conocen otros método de propagación, ya que me parece un tema muy interesante el de lograr replicarse, y sobre todo automatizar muchos ataques distintos en un solo programa muy poderoso.
Hasta luego, y gracias de antemano.