2024-03-24 12:24:43 +00:00
# API comunes utilizadas en Malware
2024-03-09 13:15:18 +00:00
2023-09-03 01:16:15 +00:00
< details >
2024-03-26 15:44:00 +00:00
< summary > < strong > Aprende a hackear AWS desde cero hasta convertirte en un experto con< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2023-09-03 01:16:15 +00:00
2024-01-09 14:11:06 +00:00
Otras formas de apoyar a HackTricks:
2023-09-03 01:16:15 +00:00
2024-03-24 12:24:43 +00:00
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN** ](https://github.com/sponsors/carlospolop )!
2024-03-14 23:33:18 +00:00
* Obtén el [**swag oficial de PEASS & HackTricks** ](https://peass.creator-spring.com )
* Descubre [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), nuestra colección exclusiva de [**NFTs** ](https://opensea.io/collection/the-peass-family )
2024-03-09 13:15:18 +00:00
* **Únete al** 💬 [**grupo de Discord** ](https://discord.gg/hRep4RUj7f ) o al [**grupo de telegram** ](https://t.me/peass ) o **síguenos** en **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-03-26 15:44:00 +00:00
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) y [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ).
2023-09-03 01:16:15 +00:00
< / details >
2024-03-26 15:44:00 +00:00
**Grupo de Seguridad Try Hard**
2024-03-14 23:33:18 +00:00
2024-03-26 15:44:00 +00:00
< figure > < img src = "/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-03-14 23:33:18 +00:00
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-03-09 13:15:18 +00:00
## Genérico
2023-09-03 01:16:15 +00:00
2024-03-09 13:15:18 +00:00
### Redes
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Raw Sockets | WinAPI Sockets |
2021-10-18 11:21:18 +00:00
| ------------- | -------------- |
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:18 +00:00
### Persistencia
2020-12-03 18:00:02 +00:00
2024-03-24 13:17:05 +00:00
| Registro | Archivo | Servicio |
| ----------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
2024-02-09 02:10:17 +00:00
2024-03-09 13:15:18 +00:00
### Encriptación
2024-02-09 02:10:17 +00:00
2024-03-26 15:44:00 +00:00
| Nombre |
| --------------------- |
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:18 +00:00
### Anti-Análisis/VM
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Nombre de la Función | Instrucciones de Ensamblaje |
| --------------------------------------------------------- | --------------------------- |
2024-03-26 15:44:00 +00:00
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot \[Verificar si un proceso está en ejecución] | |
| CreateFileW/A \[Verificar si un archivo existe] | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:18 +00:00
### Sigilo
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Nombre | |
| ------------------------ | -------------------------------------------------------------------------- |
2024-03-24 12:24:43 +00:00
| VirtualAlloc | Asignar memoria (empaquetadores) |
2024-02-09 02:10:17 +00:00
| VirtualProtect | Cambiar permisos de memoria (empaquetador dando permiso de ejecución a una sección) |
2024-03-26 15:44:00 +00:00
| ReadProcessMemory | Inyección en procesos externos |
| WriteProcessMemoryA/W | Inyección en procesos externos |
2024-02-09 02:10:17 +00:00
| NtWriteVirtualMemory | |
2024-03-26 15:44:00 +00:00
| CreateRemoteThread | Inyección de DLL/proceso... |
2024-02-09 02:10:17 +00:00
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:18 +00:00
### Ejecución
2020-12-03 18:00:02 +00:00
2024-02-09 02:10:17 +00:00
| Nombre de la Función |
| ----------------------- |
2024-03-26 15:44:00 +00:00
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:18 +00:00
### Varios
2020-12-03 18:00:02 +00:00
2023-06-03 01:46:23 +00:00
* GetAsyncKeyState() -- Registro de teclas
* SetWindowsHookEx -- Registro de teclas
2024-03-24 12:24:43 +00:00
* GetForeGroundWindow -- Obtener el nombre de la ventana en ejecución (o el sitio web desde un navegador)
2024-02-09 02:10:17 +00:00
* LoadLibrary() -- Importar biblioteca
* GetProcAddress() -- Importar biblioteca
2024-01-09 14:11:06 +00:00
* CreateToolhelp32Snapshot() -- Listar procesos en ejecución
2023-06-03 01:46:23 +00:00
* GetDC() -- Captura de pantalla
* BitBlt() -- Captura de pantalla
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acceder a Internet
2024-03-24 12:24:43 +00:00
* FindResource(), LoadResource(), LockResource() -- Acceder a los recursos del ejecutable
2020-12-03 18:00:02 +00:00
2024-03-09 13:15:18 +00:00
## Técnicas de Malware
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:18 +00:00
### Inyección de DLL
2021-09-07 00:15:14 +00:00
2024-01-09 14:11:06 +00:00
Ejecutar una DLL arbitraria dentro de otro proceso
2021-09-07 00:15:14 +00:00
2024-01-09 14:11:06 +00:00
1. Localizar el proceso para inyectar la DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Abrir el proceso: GetModuleHandle, GetProcAddress, OpenProcess
2024-02-09 02:10:17 +00:00
3. Escribir la ruta de la DLL dentro del proceso: VirtualAllocEx, WriteProcessMemory
2024-01-09 14:11:06 +00:00
4. Crear un hilo en el proceso que cargará la DLL maliciosa: CreateRemoteThread, LoadLibrary
2021-09-07 00:15:14 +00:00
2024-02-09 02:10:17 +00:00
Otras funciones a utilizar: NTCreateThreadEx, RtlCreateUserThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:18 +00:00
### Inyección de DLL Reflectante
2021-09-07 00:15:14 +00:00
2024-01-09 14:11:06 +00:00
Cargar una DLL maliciosa sin llamar a las llamadas normales de la API de Windows.\
2024-02-09 02:10:17 +00:00
La DLL se mapea dentro de un proceso, resolverá las direcciones de importación, corregirá las reubicaciones y llamará a la función DllMain.
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:18 +00:00
### Secuestro de Hilo
2021-09-07 00:15:14 +00:00
2024-01-09 14:11:06 +00:00
Encontrar un hilo de un proceso y hacer que cargue una DLL maliciosa
2021-09-07 00:15:14 +00:00
2024-01-09 14:11:06 +00:00
1. Encontrar un hilo objetivo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Abrir el hilo: OpenThread
3. Suspender el hilo: SuspendThread
2024-02-09 02:10:17 +00:00
4. Escribir la ruta de la DLL maliciosa dentro del proceso víctima: VirtualAllocEx, WriteProcessMemory
5. Reanudar el hilo cargando la biblioteca: ResumeThread
2024-01-09 14:11:06 +00:00
2024-03-26 15:44:00 +00:00
### Inyección PE
2021-09-07 00:15:14 +00:00
2023-06-03 01:46:23 +00:00
Inyección de Ejecución Portátil: El ejecutable se escribirá en la memoria del proceso víctima y se ejecutará desde allí.
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:18 +00:00
### Vaciamiento de Proceso
2021-09-07 00:15:14 +00:00
2023-06-03 01:46:23 +00:00
El malware desmapeará el código legítimo de la memoria del proceso y cargará un binario malicioso
2021-09-07 00:15:14 +00:00
2024-01-09 14:11:06 +00:00
1. Crear un nuevo proceso: CreateProcess
2. Desmapear la memoria: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Escribir el binario malicioso en la memoria del proceso: VirtualAllocEc, WriteProcessMemory
4. Establecer el punto de entrada y ejecutar: SetThreadContext, ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:15:18 +00:00
## Enganche
2021-09-07 00:15:14 +00:00
2024-02-09 02:10:17 +00:00
* La **SSDT** (**Tabla de Descriptores de Servicios del Sistema**) apunta a funciones del kernel (ntoskrnl.exe) o controlador GUI (win32k.sys) para que los procesos de usuario puedan llamar a estas funciones.
2024-01-09 14:11:06 +00:00
* Un rootkit puede modificar estos punteros a direcciones que él controla
2024-02-09 02:10:17 +00:00
* **IRP** (**Paquetes de Solicitud de E/S**) transmiten fragmentos de datos de un componente a otro. Casi todo en el kernel utiliza IRPs y cada objeto de dispositivo tiene su propia tabla de funciones que se pueden enganchar: DKOM (Manipulación Directa de Objetos del Kernel)
* La **IAT** (**Tabla de Direcciones de Importación**) es útil para resolver dependencias. Es posible enganchar esta tabla para secuestrar el código que se llamará.
2024-03-26 15:44:00 +00:00
* Enganches de **EAT** (**Tabla de Direcciones de Exportación**). Estos enganches se pueden hacer desde el **userland** . El objetivo es enganchar funciones exportadas por DLLs.
2024-03-24 13:17:05 +00:00
* **Enganches Inline**: Este tipo es difícil de lograr. Esto implica modificar el código de las funciones en sí. Tal vez colocando un salto al principio de esto.
2024-03-26 15:44:00 +00:00
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) y [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) en GitHub.
2023-09-03 01:16:15 +00:00
< / details >
