11 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
-
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
-
Adquira o swag oficial PEASS & HackTricks
-
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
-
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. Experimente gratuitamente hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
Genérico
Rede
| Raw Sockets | WinAPI Sockets |
|---|---|
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
Persistência
| Registro | Arquivo | Serviço |
|---|---|---|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() |
Criptografia
| Nome |
|---|
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
Anti-Análise/VM
| Nome da Função | Instruções de Assembly |
|---|---|
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot [Verificar se um processo está em execução] | |
| CreateFileW/A [Verificar se um arquivo existe] |
Furtividade
| Nome | |
|---|---|
| VirtualAlloc | Alocar memória (empacotadores) |
| VirtualProtect | Alterar permissão de memória (empacotador dando permissão de execução a uma seção) |
| ReadProcessMemory | Injeção em processos externos |
| WriteProcessMemoryA/W | Injeção em processos externos |
| NtWriteVirtualMemory | |
| CreateRemoteThread | Injeção de DLL/Processo... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W |
Execução
| Nome da Função |
|---|
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
Diversos
- GetAsyncKeyState() -- Registro de teclas
- SetWindowsHookEx -- Registro de teclas
- GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
- LoadLibrary() -- Importar biblioteca
- GetProcAddress() -- Importar biblioteca
- CreateToolhelp32Snapshot() -- Listar processos em execução
- GetDC() -- Captura de tela
- BitBlt() -- Captura de tela
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet
- FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável
Técnicas de Malware
Injeção de DLL
Execute uma DLL arbitrária dentro de outro processo
- Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
- Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess
- Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
- Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary
Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread
Injeção de DLL Reflexiva
Carregue uma DLL maliciosa sem chamar as chamadas normais da API do Windows.
A DLL é mapeada dentro de um processo, ela resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.
Sequestro de Thread
Encontre uma thread de um processo e faça com que ela carregue uma DLL maliciosa
- Encontre a thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
- Abra a thread: OpenThread
- Suspenda a thread: SuspendThread
- Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory
- Retome a thread carregando a biblioteca: ResumeThread
Injeção PE
Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir de lá.
Process Hollowing
O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso
- Crie um novo processo: CreateProcess
- Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
- Escreva o binário malicioso na memória do processo: VirtualAllocEx, WriteProcessMemory
- Defina o ponto de entrada e execute: SetThreadContext, ResumeThread
Hooking
- A SSDT (System Service Descriptor Table) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que os processos do usuário possam chamar essas funções.
- Um rootkit pode modificar esses ponteiros para endereços que ele controla.
- IRP (I/O Request Packets) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser hookada: DKOM (Direct Kernel Object Manipulation)
- A IAT (Import Address Table) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado.
- Hooks de EAT (Export Address Table). Esses hooks podem ser feitos a partir do userland. O objetivo é hookar funções exportadas por DLLs.
- Inline Hooks: Esse tipo é difícil de alcançar. Isso envolve modificar o código das próprias funções. Talvez colocando um salto no início disso.
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. Experimente gratuitamente hoje mesmo.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? Ou você quer ter acesso à versão mais recente do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
-
Descubra The PEASS Family, nossa coleção exclusiva de NFTs
-
Adquira o swag oficial do PEASS & HackTricks
-
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
-
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.