9.9 KiB
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF revisa los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub de HackTricks y HackTricks Cloud.
Encuentra vulnerabilidades que importan más para poder solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
Genérico
Redes
Sockets Raw | Sockets WinAPI |
---|---|
socket() | WSAStratup() |
bind() | bind() |
listen() | listen() |
accept() | accept() |
connect() | connect() |
read()/recv() | recv() |
write() | send() |
shutdown() | WSACleanup() |
Persistencia
Registro | Archivo | Servicio |
---|---|---|
RegCreateKeyEx() | GetTempPath() | OpenSCManager |
RegOpenKeyEx() | CopyFile() | CreateService() |
RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
RegDeleteKeyEx() | WriteFile() | |
RegGetValue() | ReadFile() |
Cifrado
Nombre |
---|
WinCrypt |
CryptAcquireContext() |
CryptGenKey() |
CryptDeriveKey() |
CryptDecrypt() |
CryptReleaseContext() |
Anti-Análisis/VM
Nombre de Función | Instrucciones de Ensamblaje |
---|---|
IsDebuggerPresent() | CPUID() |
GetSystemInfo() | IN() |
GlobalMemoryStatusEx() | |
GetVersion() | |
CreateToolhelp32Snapshot [Verificar si un proceso corre] | |
CreateFileW/A [Verificar si un archivo existe] |
Sigilo
Nombre | |
---|---|
VirtualAlloc | Asignar memoria (packers) |
VirtualProtect | Cambiar permisos de memoria (packer dando permiso de ejecución a una sección) |
ReadProcessMemory | Inyección en procesos externos |
WriteProcessMemoryA/W | Inyección en procesos externos |
NtWriteVirtualMemory | |
CreateRemoteThread | Inyección de DLL/Proceso... |
NtUnmapViewOfSection | |
QueueUserAPC | |
CreateProcessInternalA/W |
Ejecución
Nombre de Función |
---|
CreateProcessA/W |
ShellExecute |
WinExec |
ResumeThread |
NtResumeThread |
Misceláneo
- GetAsyncKeyState() -- Registro de teclas
- SetWindowsHookEx -- Registro de teclas
- GetForeGroundWindow -- Obtener nombre de ventana en ejecución (o el sitio web desde un navegador)
- LoadLibrary() -- Importar librería
- GetProcAddress() -- Importar librería
- CreateToolhelp32Snapshot() -- Listar procesos en ejecución
- GetDC() -- Captura de pantalla
- BitBlt() -- Captura de pantalla
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acceder a Internet
- FindResource(), LoadResource(), LockResource() -- Acceder a recursos del ejecutable
Técnicas de Malware
Inyección de DLL
Ejecutar una DLL arbitraria dentro de otro proceso
- Localizar el proceso para inyectar la DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
- Abrir el proceso: GetModuleHandle, GetProcAddress, OpenProcess
- Escribir la ruta a la DLL dentro del proceso: VirtualAllocEx, WriteProcessMemory
- Crear un hilo en el proceso que cargará la DLL maliciosa: CreateRemoteThread, LoadLibrary
Otras funciones a usar: NTCreateThreadEx, RtlCreateUserThread
Inyección de DLL Reflectiva
Cargar una DLL maliciosa sin llamar a las llamadas normales de la API de Windows.
La DLL se mapea dentro de un proceso, resolverá las direcciones de importación, arreglará las reubicaciones y llamará a la función DllMain.
Secuestro de Hilo
Encontrar un hilo de un proceso y hacer que cargue una DLL maliciosa
- Encontrar un hilo objetivo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
- Abrir el hilo: OpenThread
- Suspender el hilo: SuspendThread
- Escribir la ruta a la DLL maliciosa dentro del proceso víctima: VirtualAllocEx, WriteProcessMemory
- Reanudar el hilo cargando la librería: ResumeThread
Inyección de PE
Inyección de Ejecución Portátil: El ejecutable se escribirá en la memoria del proceso víctima y se ejecutará desde allí.
Vaciamiento de Proceso
El malware desmapeará el código legítimo de la memoria del proceso y cargará un binario malicioso
- Crear un nuevo proceso: CreateProcess
- Desmapear la memoria: ZwUnmapViewOfSection, NtUnmapViewOfSection
- Escribir el binario malicioso en la memoria del proceso: VirtualAllocEc, WriteProcessMemory
- Establecer el punto de entrada y ejecutar: SetThreadContext, ResumeThread
Hooking
- La SSDT (Tabla de Descriptores de Servicios del Sistema) apunta a funciones del kernel (ntoskrnl.exe) o al controlador de GUI (win32k.sys) para que los procesos de usuario puedan llamar a estas funciones.
- Un rootkit puede modificar estos punteros a direcciones que él controla
- Los IRP (Paquetes de Solicitud de E/S) transmiten piezas de datos de un componente a otro. Casi todo en el kernel utiliza IRPs y cada objeto de dispositivo tiene su propia tabla de funciones que se puede hook: DKOM (Manipulación Directa de Objetos del Kernel)
- La IAT (Tabla de Direcciones de Importación) es útil para resolver dependencias. Es posible hook esta tabla para secuestrar el código que se llamará.
- Hooks de EAT (Tabla de Direcciones de Exportación). Estos hooks se pueden hacer desde userland. El objetivo es hook funciones exportadas por DLLs.
- Hooks en línea: Este tipo son difíciles de lograr. Esto implica modificar el código de las funciones en sí. Tal vez poniendo un salto al principio de esta.
Encuentra vulnerabilidades que importan más para poder solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF revisa los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub de HackTricks y HackTricks Cloud.