2024-03-09 13:15:58 +00:00
# APIs Comuns Usadas em Malwares
2023-09-03 01:19:04 +00:00
< details >
2024-03-24 13:18:24 +00:00
< summary > < strong > Aprenda hacking na AWS do zero ao herói com< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2023-09-03 01:19:04 +00:00
2024-03-24 13:18:24 +00:00
Outras formas de apoiar o HackTricks:
2023-09-03 01:19:04 +00:00
2024-03-24 12:25:47 +00:00
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA** ](https://github.com/sponsors/carlospolop )!
2024-02-09 02:10:17 +00:00
* Adquira o [**swag oficial PEASS & HackTricks** ](https://peass.creator-spring.com )
* Descubra [**A Família PEASS** ](https://opensea.io/collection/the-peass-family ), nossa coleção exclusiva de [**NFTs** ](https://opensea.io/collection/the-peass-family )
2024-03-09 13:15:58 +00:00
* **Junte-se ao** 💬 [**grupo Discord** ](https://discord.gg/hRep4RUj7f ) ou ao [**grupo telegram** ](https://t.me/peass ) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-03-24 13:18:24 +00:00
* **Compartilhe suas técnicas de hacking enviando PRs para os** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) e [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) repositórios do github.
2023-09-03 01:19:04 +00:00
< / details >
2024-03-24 13:18:24 +00:00
**Try Hard Security Group**
2024-03-14 23:33:23 +00:00
2024-03-24 13:18:24 +00:00
< figure > < img src = "../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-03-14 23:33:23 +00:00
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-03-09 13:15:58 +00:00
## Genérico
2022-05-01 16:32:23 +00:00
2024-03-09 13:15:58 +00:00
### Rede
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Raw Sockets | WinAPI Sockets |
2021-10-18 11:21:18 +00:00
| ------------- | -------------- |
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
### Persistência
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Registro | Arquivo | Serviço |
2024-01-09 15:03:37 +00:00
| ---------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
### Criptografia
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Nome |
2021-10-18 11:21:18 +00:00
| --------------------- |
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
### Anti-Análise/VM
2020-12-03 18:00:02 +00:00
2023-09-03 01:19:04 +00:00
| Nome da Função | Instruções de Assembly |
2024-03-14 23:33:23 +00:00
| --------------------------------------------------------- | --------------------- |
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
2023-09-03 01:19:04 +00:00
| CreateToolhelp32Snapshot \[Verificar se um processo está em execução] | |
2024-03-14 23:33:23 +00:00
| CreateFileW/A \[Verificar se um arquivo existe] | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
### Furtividade
2020-12-03 18:00:02 +00:00
2023-06-06 18:56:34 +00:00
| Nome | |
2021-10-18 11:21:18 +00:00
| ------------------------ | -------------------------------------------------------------------------- |
2024-03-14 23:33:23 +00:00
| VirtualAlloc | Alocar memória (empacotadores) |
2024-02-09 02:10:17 +00:00
| VirtualProtect | Alterar permissão de memória (empacotador dando permissão de execução a uma seção) |
2024-03-14 23:33:23 +00:00
| ReadProcessMemory | Injeção em processos externos |
| WriteProcessMemoryA/W | Injeção em processos externos |
2021-10-18 11:21:18 +00:00
| NtWriteVirtualMemory | |
2024-03-14 23:33:23 +00:00
| CreateRemoteThread | Injeção de DLL/Processo... |
2021-10-18 11:21:18 +00:00
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
### Execução
2020-12-03 18:00:02 +00:00
2023-06-06 18:56:34 +00:00
| Nome da Função |
2021-10-18 11:21:18 +00:00
| ---------------- |
2020-12-09 00:31:50 +00:00
| CreateProcessA/W |
2021-10-18 11:21:18 +00:00
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
### Diversos
2020-12-03 18:00:02 +00:00
2023-06-06 18:56:34 +00:00
* GetAsyncKeyState() -- Registro de teclas
* SetWindowsHookEx -- Registro de teclas
2023-09-03 01:19:04 +00:00
* GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
2023-06-06 18:56:34 +00:00
* LoadLibrary() -- Importar biblioteca
* GetProcAddress() -- Importar biblioteca
* CreateToolhelp32Snapshot() -- Listar processos em execução
* GetDC() -- Captura de tela
* BitBlt() -- Captura de tela
2023-09-03 01:19:04 +00:00
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet
* FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:58 +00:00
## Técnicas de Malware
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:58 +00:00
### Injeção de DLL
2021-09-07 00:15:14 +00:00
2024-03-24 12:25:47 +00:00
Execute uma DLL arbitrária dentro de outro processo
2021-09-07 00:15:14 +00:00
2024-03-24 12:25:47 +00:00
1. Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess
3. Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
4. Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary
2021-09-07 00:15:14 +00:00
2024-02-09 02:10:17 +00:00
Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:58 +00:00
### Injeção de DLL Reflexiva
2021-09-07 00:15:14 +00:00
2024-03-24 12:25:47 +00:00
Carregue uma DLL maliciosa sem chamar chamadas normais de API do Windows.\
2024-03-09 13:15:58 +00:00
A DLL é mapeada dentro de um processo, resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.
2024-01-09 15:03:37 +00:00
2024-03-09 13:15:58 +00:00
### Sequestro de Thread
2021-09-07 00:15:14 +00:00
2024-03-24 12:25:47 +00:00
Encontre um thread de um processo e faça-o carregar uma DLL maliciosa
2021-09-07 00:15:14 +00:00
2024-03-24 12:25:47 +00:00
1. Encontre um thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Abra o thread: OpenThread
3. Suspenda o thread: SuspendThread
4. Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory
5. Retome o thread carregando a biblioteca: ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:58 +00:00
### Injeção de PE
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:58 +00:00
Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir dali.
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:58 +00:00
### Oco de Processo
2021-09-07 00:15:14 +00:00
2023-06-06 18:56:34 +00:00
O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso
2021-09-07 00:15:14 +00:00
2024-03-24 12:25:47 +00:00
1. Crie um novo processo: CreateProcess
2. Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Escreva o binário malicioso na memória do processo: VirtualAllocEc, WriteProcessMemory
4. Defina o ponto de entrada e execute: SetThreadContext, ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:58 +00:00
## Hooking
2021-09-07 00:15:14 +00:00
2024-03-24 13:18:24 +00:00
* A **SSDT** (**System Service Descriptor Table**) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que processos de usuário possam chamar essas funções.
2024-01-09 15:03:37 +00:00
* Um rootkit pode modificar esses ponteiros para endereços que ele controla
2024-03-24 13:18:24 +00:00
* **IRP** (**I/O Request Packets**) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser hookada: DKOM (Direct Kernel Object Manipulation)
* O **IAT** (**Import Address Table**) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado.
* **EAT** (**Export Address Table**) Hooks. Esses hooks podem ser feitos do **userland** . O objetivo é hookar funções exportadas por DLLs.
2024-02-09 02:10:17 +00:00
* **Hooks Inline**: Esse tipo é difícil de alcançar. Isso envolve modificar o código das funções em si. Talvez colocando um salto no início disso.
2024-03-24 13:18:24 +00:00
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) **e** [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) **no GitHub.**