Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras maneiras de apoiar o HackTricks: * Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente de graça**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje. {% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %} *** # Genérico ## Rede | Raw Sockets | WinAPI Sockets | | ------------- | -------------- | | socket() | WSAStratup() | | bind() | bind() | | listen() | listen() | | accept() | accept() | | connect() | connect() | | read()/recv() | recv() | | write() | send() | | shutdown() | WSACleanup() | ## Persistência | Registro | Arquivo | Serviço | | ---------------- | ------------- | ---------------------------- | | RegCreateKeyEx() | GetTempPath() | OpenSCManager | | RegOpenKeyEx() | CopyFile() | CreateService() | | RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() | | RegDeleteKeyEx() | WriteFile() | | | RegGetValue() | ReadFile() | | ## Criptografia | Nome | | --------------------- | | WinCrypt | | CryptAcquireContext() | | CryptGenKey() | | CryptDeriveKey() | | CryptDecrypt() | | CryptReleaseContext() | ## Anti-Análise/VM | Nome da Função | Instruções de Assembly | | -------------------------------------------------------- | ---------------------- | | IsDebuggerPresent() | CPUID() | | GetSystemInfo() | IN() | | GlobalMemoryStatusEx() | | | GetVersion() | | | CreateToolhelp32Snapshot \[Verificar se um processo está em execução] | | | CreateFileW/A \[Verificar se um arquivo existe] | | ## Furtividade | Nome | | | ------------------------ | -------------------------------------------------------------------------- | | VirtualAlloc | Alocar memória (empacotadores) | | VirtualProtect | Alterar permissão de memória (empacotador dando permissão de execução a uma seção) | | ReadProcessMemory | Injeção em processos externos | | WriteProcessMemoryA/W | Injeção em processos externos | | NtWriteVirtualMemory | | | CreateRemoteThread | Injeção de DLL/Processo... | | NtUnmapViewOfSection | | | QueueUserAPC | | | CreateProcessInternalA/W | | ## Execução | Nome da Função | | ---------------- | | CreateProcessA/W | | ShellExecute | | WinExec | | ResumeThread | | NtResumeThread | ## Diversos * GetAsyncKeyState() -- Registro de teclas * SetWindowsHookEx -- Registro de teclas * GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador) * LoadLibrary() -- Importar biblioteca * GetProcAddress() -- Importar biblioteca * CreateToolhelp32Snapshot() -- Listar processos em execução * GetDC() -- Captura de tela * BitBlt() -- Captura de tela * InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet * FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável # Técnicas de Malware ## Injeção de DLL Execute uma DLL arbitrária dentro de outro processo 1. Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next 2. Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess 3. Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory 4. Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread ## Injeção de DLL Reflexiva Carregue uma DLL maliciosa sem chamar chamadas normais de API do Windows.\ A DLL é mapeada dentro de um processo, ela resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain. ## Sequestro de Thread Encontre uma thread de um processo e faça com que ela carregue uma DLL maliciosa 1. Encontre uma thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next 2. Abra a thread: OpenThread 3. Suspenda a thread: SuspendThread 4. Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory 5. Retome a thread carregando a biblioteca: ResumeThread ## Injeção PE Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir daí. ## Oco de Processo O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso 1. Crie um novo processo: CreateProcess 2. Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection 3. Escreva o binário malicioso na memória do processo: VirtualAllocEc, WriteProcessMemory 4. Defina o ponto de entrada e execute: SetThreadContext, ResumeThread # Hooking * A **SSDT** (**Tabela de Descritores de Serviço do Sistema**) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que processos de usuário possam chamar essas funções. * Um rootkit pode modificar esses ponteiros para endereços que ele controla * **IRP** (**Pacotes de Solicitação de E/S**) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que podem ser hookadas: DKOM (Manipulação Direta de Objetos do Kernel) * O **IAT** (**Tabela de Endereços de Importação**) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado. * **EAT** (**Tabela de Endereços de Exportação**) Hooks. Esses hooks podem ser feitos do **espaço do usuário**. O objetivo é hookar funções exportadas por DLLs. * **Hooks Inline**: Esse tipo é difícil de alcançar. Isso envolve modificar o código das funções em si. Talvez colocando um salto no início disso.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente de graça**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje. {% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras maneiras de apoiar o HackTricks: * Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.