hacktricks/reversing/common-api-used-in-malware.md

178 lines
8.9 KiB
Markdown
Raw Normal View History

# Algemene API wat in Malware gebruik word
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Leer AWS hakwerk vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
2022-04-28 16:01:33 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 02:07:06 +00:00
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou hakwerktruuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
</details>
**Probeer Hard Security Groep**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## Generies
2023-09-02 23:48:41 +00:00
### Netwerke
2022-04-28 16:01:33 +00:00
| Rou Sockets | WinAPI Sockets |
| ------------- | -------------- |
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
2020-12-03 18:00:02 +00:00
### Volharding
2020-12-03 18:00:02 +00:00
| Registreer | Lêer | Diens |
| ------------------ | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
2020-12-03 18:00:02 +00:00
### Versleuteling
2020-12-03 18:00:02 +00:00
2024-02-11 02:07:06 +00:00
| Naam |
| --------------------- |
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
2020-12-03 18:00:02 +00:00
### Anti-Analise/VM
2020-12-03 18:00:02 +00:00
| Funksienaam | Monteerinstruksies |
| ------------------------------------------------------- | ------------------ |
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot \[Kyk of 'n proses loop] | |
| CreateFileW/A \[Kyk of 'n lêer bestaan] | |
2020-12-03 18:00:02 +00:00
### Steelsheid
2020-12-03 18:00:02 +00:00
2024-02-11 02:07:06 +00:00
| Naam | |
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc | Allokasie van geheue (pakkers) |
| VirtualProtect | Verander geheue toestemming (pakker gee uitvoeringsreg aan 'n afdeling) |
| ReadProcessMemory | Inspruiting in eksterne prosesse |
| WriteProcessMemoryA/W | Inspruiting in eksterne prosesse |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/Proses inspuiting... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
2020-12-03 18:00:02 +00:00
### Uitvoering
2020-12-03 18:00:02 +00:00
| Funksienaam |
| -------------- |
2020-12-09 00:31:50 +00:00
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
2020-12-03 18:00:02 +00:00
### Verskeidenheid
2021-09-07 00:15:14 +00:00
* GetAsyncKeyState() -- Sleutel log
* SetWindowsHookEx -- Sleutel log
* GetForeGroundWindow -- Kry die lopende vensternaam (of die webwerf van 'n blaaier)
2024-02-11 02:07:06 +00:00
* LoadLibrary() -- Importeer biblioteek
* GetProcAddress() -- Importeer biblioteek
* CreateToolhelp32Snapshot() -- Lys lopende prosesse
* GetDC() -- Skermkiekie
* BitBlt() -- Skermkiekie
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Toegang tot die internet
* FindResource(), LoadResource(), LockResource() -- Toegang tot hulpbronne van die uitvoerbare lêer
2021-09-07 00:15:14 +00:00
## Malware Tegnieke
2021-09-07 00:15:14 +00:00
### DLL Inspruiting
2021-09-07 00:15:14 +00:00
Voer 'n willekeurige DLL binne 'n ander proses uit
2021-09-07 00:15:14 +00:00
2024-02-11 02:07:06 +00:00
1. Vind die proses om die skadelike DLL in te spuit: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Maak die proses oop: GetModuleHandle, GetProcAddress, OpenProcess
3. Skryf die pad na die DLL binne die proses: VirtualAllocEx, WriteProcessMemory
4. Skep 'n draad in die proses wat die skadelike DLL sal laai: CreateRemoteThread, LoadLibrary
2021-09-07 00:15:14 +00:00
2024-02-11 02:07:06 +00:00
Ander funksies om te gebruik: NTCreateThreadEx, RtlCreateUserThread
2021-09-07 00:15:14 +00:00
### Reflektiewe DLL Inspruiting
2021-09-07 00:15:14 +00:00
2024-02-11 02:07:06 +00:00
Laai 'n skadelike DLL sonder om normale Windows API-oproepe te maak.\
Die DLL word in 'n proses afgebeeld, dit sal die invoeradresse oplos, die herlokalisasies regstel en die DllMain-funksie aanroep.
2021-09-07 00:15:14 +00:00
### Draad Kaping
2021-09-07 00:15:14 +00:00
Vind 'n draad van 'n proses en maak dit laai 'n skadelike DLL
2021-09-07 00:15:14 +00:00
2024-02-11 02:07:06 +00:00
1. Vind 'n teikendraad: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Maak die draad oop: OpenThread
3. Stel die draad op: SuspendThread
4. Skryf die pad na die skadelike DLL binne die slagofferproses: VirtualAllocEx, WriteProcessMemory
5. Hervat die draad wat die biblioteek laai: ResumeThread
2021-09-07 00:15:14 +00:00
### PE Inspruiting
2021-09-07 00:15:14 +00:00
Portable Uitvoering Inspruiting: Die uitvoerbare lêer sal in die geheue van die slagofferproses geskryf word en van daar af uitgevoer word.
2021-09-07 00:15:14 +00:00
### Proses Uitholling
2023-09-02 23:48:41 +00:00
Die malware sal die wettige kode van die geheue van die proses afkoppel en 'n skadelike binêre lêer laai
2023-09-02 23:48:41 +00:00
2024-02-11 02:07:06 +00:00
1. Skep 'n nuwe proses: CreateProcess
2. Ontkoppel die geheue: ZwUnmapViewOfSection, NtUnmapViewOfSection
2024-02-11 02:07:06 +00:00
3. Skryf die skadelike binêre lêer in die prosesgeheue: VirtualAllocEc, WriteProcessMemory
4. Stel die ingangspunt en voer uit: SetThreadContext, ResumeThread
2022-05-01 16:32:23 +00:00
## Haak
2022-05-01 16:32:23 +00:00
* Die **SSDT** (**System Service Descriptor Table**) wys na kernelfunksies (ntoskrnl.exe) of GUI-bestuurder (win32k.sys) sodat gebruikersprosesse hierdie funksies kan aanroep.
* 'n Rootkit kan hierdie wysers na adresse wat hy beheer, wysig
* **IRP** (**I/O Aanvraagpakkette**) stuur stukke data van die een komponent na die ander. Amper alles in die kernel gebruik IRPs en elke toestelobjek het sy eie funksietabel wat gehaak kan word: DKOM (Direkte Kernelobjekmanipulasie)
* Die **IAT** (**Invoeradrestabel**) is nuttig om afhanklikhede op te los. Dit is moontlik om hierdie tabel te haak om die kode wat geroep sal word, te kap.
* **EAT** (**Uitvoeradrestabel**) Haak. Hierdie hake kan vanuit **gebruikersruimte** gedoen word. Die doel is om uitgevoerde funksies deur DLL's te haak.
* **Inline Hake**: Hierdie tipe is moeilik om te bereik. Dit behels die wysiging van die kode van die funksies self. Dalk deur 'n sprong aan die begin van hierdie te plaas.
**Probeer Hard Security Groep**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
<details>
<summary><strong>Leer AWS hakwerk vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou hacking truuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>