mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
161 lines
8.2 KiB
Markdown
161 lines
8.2 KiB
Markdown
|
# Häufig verwendete APIs in Malware
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
|
||
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
||
|
|
||
|
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen** möchten oder **HackTricks als PDF herunterladen** möchten, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
||
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
||
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
|
||
|
|
||
|
</details>
|
||
|
|
||
|
**Try Hard Security Group**
|
||
|
|
||
|
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
{% embed url="https://discord.gg/tryhardsecurity" %}
|
||
|
|
||
|
***
|
||
|
|
||
|
## Generisch
|
||
|
|
||
|
### Netzwerk
|
||
|
|
||
|
| Raw Sockets | WinAPI Sockets |
|
||
|
| ------------- | -------------- |
|
||
|
| socket() | WSAStratup() |
|
||
|
| bind() | bind() |
|
||
|
| listen() | listen() |
|
||
|
| accept() | accept() |
|
||
|
| connect() | connect() |
|
||
|
| read()/recv() | recv() |
|
||
|
| write() | send() |
|
||
|
| shutdown() | WSACleanup() |
|
||
|
|
||
|
### Persistenz
|
||
|
|
||
|
| Registry | Datei | Dienst |
|
||
|
| ---------------- | ------------- | ---------------------------- |
|
||
|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
|
||
|
| RegOpenKeyEx() | CopyFile() | CreateService() |
|
||
|
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
|
||
|
| RegDeleteKeyEx() | WriteFile() | |
|
||
|
| RegGetValue() | ReadFile() | |
|
||
|
|
||
|
### Verschlüsselung
|
||
|
|
||
|
| Name |
|
||
|
| --------------------- |
|
||
|
| WinCrypt |
|
||
|
| CryptAcquireContext() |
|
||
|
| CryptGenKey() |
|
||
|
| CryptDeriveKey() |
|
||
|
| CryptDecrypt() |
|
||
|
| CryptReleaseContext() |
|
||
|
|
||
|
### Anti-Analyse/VM
|
||
|
|
||
|
| Funktionsname | Assemblerbefehle |
|
||
|
| --------------------------------------------------------- | --------------------- |
|
||
|
| IsDebuggerPresent() | CPUID() |
|
||
|
| GetSystemInfo() | IN() |
|
||
|
| GlobalMemoryStatusEx() | |
|
||
|
| GetVersion() | |
|
||
|
| CreateToolhelp32Snapshot \[Überprüfen, ob ein Prozess läuft] | |
|
||
|
| CreateFileW/A \[Überprüfen, ob eine Datei existiert] | |
|
||
|
|
||
|
### Tarnung
|
||
|
|
||
|
| Name | |
|
||
|
| ------------------------ | -------------------------------------------------------------------------- |
|
||
|
| VirtualAlloc | Speicher zuweisen (Packer) |
|
||
|
| VirtualProtect | Ändern der Speicherberechtigung (Packer, der einer Sektion Ausführungsberechtigung gibt) |
|
||
|
| ReadProcessMemory | Injektion in externe Prozesse |
|
||
|
| WriteProcessMemoryA/W | Injektion in externe Prozesse |
|
||
|
| NtWriteVirtualMemory | |
|
||
|
| CreateRemoteThread | DLL-/Prozessinjektion... |
|
||
|
| NtUnmapViewOfSection | |
|
||
|
| QueueUserAPC | |
|
||
|
| CreateProcessInternalA/W | |
|
||
|
|
||
|
### Ausführung
|
||
|
|
||
|
| Funktionsname |
|
||
|
| ---------------- |
|
||
|
| CreateProcessA/W |
|
||
|
| ShellExecute |
|
||
|
| WinExec |
|
||
|
| ResumeThread |
|
||
|
| NtResumeThread |
|
||
|
|
||
|
### Sonstiges
|
||
|
|
||
|
* GetAsyncKeyState() -- Tastenprotokollierung
|
||
|
* SetWindowsHookEx -- Tastenprotokollierung
|
||
|
* GetForeGroundWindow -- Name des aktiven Fensters abrufen (oder die Website aus einem Browser)
|
||
|
* LoadLibrary() -- Bibliothek importieren
|
||
|
* GetProcAddress() -- Bibliothek importieren
|
||
|
* CreateToolhelp32Snapshot() -- Liste der laufenden Prozesse
|
||
|
* GetDC() -- Bildschirmfoto
|
||
|
* BitBlt() -- Bildschirmfoto
|
||
|
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Zugriff auf das Internet
|
||
|
* FindResource(), LoadResource(), LockResource() -- Ressourcen der ausführbaren Datei abrufen
|
||
|
|
||
|
## Malware-Techniken
|
||
|
|
||
|
### DLL-Injektion
|
||
|
|
||
|
Führen Sie eine beliebige DLL in einem anderen Prozess aus
|
||
|
|
||
|
1. Den Prozess lokalisieren, um die bösartige DLL einzuspritzen: CreateToolhelp32Snapshot, Process32First, Process32Next
|
||
|
2. Den Prozess öffnen: GetModuleHandle, GetProcAddress, OpenProcess
|
||
|
3. Den Pfad zur DLL im Prozess schreiben: VirtualAllocEx, WriteProcessMemory
|
||
|
4. Einen Thread im Prozess erstellen, der die bösartige DLL lädt: CreateRemoteThread, LoadLibrary
|
||
|
|
||
|
Andere zu verwendende Funktionen: NTCreateThreadEx, RtlCreateUserThread
|
||
|
|
||
|
### Reflektierende DLL-Injektion
|
||
|
|
||
|
Laden Sie eine bösartige DLL, ohne normale Windows-API-Aufrufe zu tätigen.\
|
||
|
Die DLL wird in einem Prozess abgebildet, sie wird die Importadressen auflösen, die Relokationen beheben und die DllMain-Funktion aufrufen.
|
||
|
|
||
|
### Thread-Hijacking
|
||
|
|
||
|
Finden Sie einen Thread eines Prozesses und lassen Sie ihn eine bösartige DLL laden
|
||
|
|
||
|
1. Einen Zielthread finden: CreateToolhelp32Snapshot, Thread32First, Thread32Next
|
||
|
2. Den Thread öffnen: OpenThread
|
||
|
3. Den Thread anhalten: SuspendThread
|
||
|
4. Den Pfad zur bösartigen DLL im Opferprozess schreiben: VirtualAllocEx, WriteProcessMemory
|
||
|
5. Den Thread fortsetzen, um die Bibliothek zu laden: ResumeThread
|
||
|
|
||
|
### PE-Injektion
|
||
|
|
||
|
Portable Execution Injection: Die ausführbare Datei wird im Speicher des Opferprozesses geschrieben und von dort ausgeführt.
|
||
|
|
||
|
### Process Hollowing
|
||
|
|
||
|
Die Malware wird den legitimen Code aus dem Speicher des Prozesses entfernen und eine bösartige Binärdatei laden
|
||
|
|
||
|
1. Einen neuen Prozess erstellen: CreateProcess
|
||
|
2. Den Speicher entladen: ZwUnmapViewOfSection, NtUnmapViewOfSection
|
||
|
3. Die bösartige Binärdatei im Prozessspeicher schreiben: VirtualAllocEc, WriteProcessMemory
|
||
|
4. Den Einstiegspunkt festlegen und ausführen: SetThreadContext, ResumeThread
|
||
|
|
||
|
## Hooking
|
||
|
|
||
|
* Die **SSDT** (**System Service Descriptor Table**) zeigt auf Kernel-Funktionen (ntoskrnl.exe) oder GUI-Treiber (win32k.sys), damit Benutzerprozesse diese Funktionen aufrufen können.
|
||
|
* Ein Rootkit kann diese Zeiger auf Adressen ändern, die er kontrolliert
|
||
|
* **IRP** (**I/O Request Packets**) übertragen Datenstücke von einem Komponenten zum anderen. Fast alles im Kernel verwendet IRPs und jedes Geräteobjekt hat seine eigene Funktionstabelle, die gehookt werden kann: DKOM (Direct Kernel Object Manipulation)
|
||
|
* Die **IAT** (**Import Address Table**) ist nützlich zur Auflösung von Abhängigkeiten. Es ist möglich, diese Tabelle zu hooken, um den Code zu kapern, der aufgerufen wird.
|
||
|
* **EAT** (**Export Address Table**) Hooks. Diese Hooks können aus dem **Userland** heraus gemacht werden. Das Ziel ist es, von DLLs exportierte Funktionen zu hooken.
|
||
|
* **Inline Hooks**: Dieser Typ ist schwer zu erreichen. Dies beinhaltet die Modifizierung des Codes der Funktionen selbst, möglicherweise durch das Einfügen eines Sprungs am Anfang davon.
|
||
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) **und** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **GitHub-Repositorys senden.**
|
||
|
|
||
|
</details>
|