2024-03-09 13:16:41 +00:00
# Häufig verwendete APIs in Malware
2022-04-28 16:01:33 +00:00
< details >
2024-03-14 23:35:25 +00:00
< summary > < strong > Erlernen Sie AWS-Hacking von Grund auf mit< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-10 15:36:32 +00:00
Andere Möglichkeiten, HackTricks zu unterstützen:
2022-04-28 16:01:33 +00:00
2024-03-14 23:35:25 +00:00
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten** , überprüfen Sie die [**ABONNEMENTPLÄNE** ](https://github.com/sponsors/carlospolop )!
2024-02-10 15:36:32 +00:00
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise** ](https://peass.creator-spring.com )
* Entdecken Sie [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), unsere Sammlung exklusiver [**NFTs** ](https://opensea.io/collection/the-peass-family )
2024-03-09 13:16:41 +00:00
* **Treten Sie der** 💬 [**Discord-Gruppe** ](https://discord.gg/hRep4RUj7f ) oder der [**Telegram-Gruppe** ](https://t.me/peass ) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-03-14 23:35:25 +00:00
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) und [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) GitHub-Repositories einreichen.
2022-04-28 16:01:33 +00:00
< / details >
2024-03-14 23:35:25 +00:00
**Try Hard Security Group**
< figure > < img src = "../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-03-09 13:16:41 +00:00
## Generisch
2023-09-02 23:48:41 +00:00
2024-03-09 13:16:41 +00:00
### Netzwerk
2020-12-03 18:00:02 +00:00
2021-10-18 11:21:18 +00:00
| Raw Sockets | WinAPI Sockets |
| ------------- | -------------- |
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
### Persistenz
2020-12-03 18:00:02 +00:00
2024-03-14 23:35:25 +00:00
| Registry | Datei | Dienst |
2021-10-18 11:21:18 +00:00
| ---------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
### Verschlüsselung
2020-12-03 18:00:02 +00:00
2021-10-18 11:21:18 +00:00
| Name |
| --------------------- |
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
### Anti-Analyse/VM
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
| Funktionsname | Assemblerbefehle |
| --------------------------------------------------------- | --------------------- |
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot \[Überprüfen, ob ein Prozess läuft] | |
| CreateFileW/A \[Überprüfen, ob eine Datei existiert] | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
### Tarnung
2020-12-03 18:00:02 +00:00
2021-10-18 11:21:18 +00:00
| Name | |
| ------------------------ | -------------------------------------------------------------------------- |
2024-03-09 13:16:41 +00:00
| VirtualAlloc | Speicher zuweisen (Packer) |
| VirtualProtect | Ändern der Speicherberechtigung (Packer, der einer Sektion Ausführungsberechtigung gibt) |
| ReadProcessMemory | Injektion in externe Prozesse |
| WriteProcessMemoryA/W | Injektion in externe Prozesse |
2021-10-18 11:21:18 +00:00
| NtWriteVirtualMemory | |
2024-02-10 15:36:32 +00:00
| CreateRemoteThread | DLL-/Prozessinjektion... |
2021-10-18 11:21:18 +00:00
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
### Ausführung
2020-12-03 18:00:02 +00:00
2024-02-10 15:36:32 +00:00
| Funktionsname |
2021-10-18 11:21:18 +00:00
| ---------------- |
2020-12-09 00:31:50 +00:00
| CreateProcessA/W |
2021-10-18 11:21:18 +00:00
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
### Sonstiges
2020-12-03 18:00:02 +00:00
2024-02-10 15:36:32 +00:00
* GetAsyncKeyState() -- Tastenprotokollierung
* SetWindowsHookEx -- Tastenprotokollierung
2024-03-09 13:16:41 +00:00
* GetForeGroundWindow -- Name des aktiven Fensters abrufen (oder die Website eines Browsers)
2024-02-10 15:36:32 +00:00
* LoadLibrary() -- Bibliothek importieren
* GetProcAddress() -- Bibliothek importieren
* CreateToolhelp32Snapshot() -- Liste der laufenden Prozesse
* GetDC() -- Bildschirmfoto
* BitBlt() -- Bildschirmfoto
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Zugriff auf das Internet
2024-03-14 23:35:25 +00:00
* FindResource(), LoadResource(), LockResource() -- Ressourcen der ausführbaren Datei zugreifen
2020-12-03 18:00:02 +00:00
2024-03-09 13:16:41 +00:00
## Malware-Techniken
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
### DLL-Injektion
2021-09-07 00:15:14 +00:00
2024-02-10 15:36:32 +00:00
Führen Sie eine beliebige DLL in einem anderen Prozess aus
2021-09-07 00:15:14 +00:00
2024-03-14 23:35:25 +00:00
1. Lokalisieren Sie den Prozess, um die bösartige DLL einzuspritzen: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Öffnen Sie den Prozess: GetModuleHandle, GetProcAddress, OpenProcess
3. Schreiben Sie den Pfad zur DLL in den Prozess: VirtualAllocEx, WriteProcessMemory
4. Erstellen Sie einen Thread im Prozess, der die bösartige DLL laden wird: CreateRemoteThread, LoadLibrary
2021-09-07 00:15:14 +00:00
2024-02-10 15:36:32 +00:00
Andere zu verwendende Funktionen: NTCreateThreadEx, RtlCreateUserThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
### Reflektierende DLL-Injektion
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
Laden Sie eine bösartige DLL, ohne normale Windows-API-Aufrufe zu tätigen.\
Die DLL wird innerhalb eines Prozesses abgebildet, sie wird die Importadressen auflösen, die Relokationen beheben und die DllMain-Funktion aufrufen.
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
### Thread-Hijacking
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
Finden Sie einen Thread eines Prozesses und lassen Sie ihn eine bösartige DLL laden
2021-09-07 00:15:14 +00:00
2024-03-14 23:35:25 +00:00
1. Finden Sie einen Zielthread: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Öffnen Sie den Thread: OpenThread
3. Unterbrechen Sie den Thread: SuspendThread
4. Schreiben Sie den Pfad zur bösartigen DLL in den Opferprozess: VirtualAllocEx, WriteProcessMemory
5. Setzen Sie den Thread fort, der die Bibliothek lädt: ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
### PE-Injektion
2021-09-07 00:15:14 +00:00
2024-02-10 15:36:32 +00:00
Portable Execution Injection: Die ausführbare Datei wird im Speicher des Opferprozesses geschrieben und von dort aus ausgeführt.
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
### Prozess-Hollowing
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
Die Malware wird den legitimen Code aus dem Speicher des Prozesses entfernen und eine bösartige Binärdatei laden
2021-09-07 00:15:14 +00:00
2024-03-14 23:35:25 +00:00
1. Erstellen Sie einen neuen Prozess: CreateProcess
2. Entfernen Sie den Speicher: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Schreiben Sie die bösartige Binärdatei in den Prozessspeicher: VirtualAllocEc, WriteProcessMemory
4. Setzen Sie den Einstiegspunkt und führen Sie aus: SetThreadContext, ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:16:41 +00:00
## Hooking
2021-09-07 00:15:14 +00:00
2024-02-10 15:36:32 +00:00
* Die **SSDT** (**System Service Descriptor Table**) zeigt auf Kernel-Funktionen (ntoskrnl.exe) oder GUI-Treiber (win32k.sys), damit Benutzerprozesse diese Funktionen aufrufen können.
2024-03-14 23:35:25 +00:00
* Ein Rootkit kann diese Zeiger auf Adressen ändern, die er kontrolliert.
2024-03-09 13:16:41 +00:00
* **IRP** (**I/O Request Packets**) übertragen Datenstücke von einem Komponenten zum anderen. Fast alles im Kernel verwendet IRPs und jedes Geräteobjekt hat seine eigene Funktionstabelle, die gehookt werden kann: DKOM (Direct Kernel Object Manipulation)
* Die **IAT** (**Import Address Table**) ist nützlich zur Auflösung von Abhängigkeiten. Es ist möglich, diese Tabelle zu hooken, um den Code zu kapern, der aufgerufen wird.
* **EAT** (**Export Address Table**) Hooks. Diese Hooks können aus dem **Userland** heraus gemacht werden. Das Ziel ist es, von DLLs exportierte Funktionen zu hooken.
2024-03-14 23:35:25 +00:00
* **Inline Hooks**: Dieser Typ ist schwer zu erreichen. Dies beinhaltet die Modifizierung des Codes der Funktionen selbst, möglicherweise durch das Setzen eines Sprungs am Anfang davon.
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) **und** [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) **GitHub-Repositories senden.**
