hacktricks/reversing/common-api-used-in-malware.md

9.9 KiB

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Encuentra vulnerabilidades que importan más para poder solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


Genérico

Redes

Sockets Raw Sockets WinAPI
socket() WSAStratup()
bind() bind()
listen() listen()
accept() accept()
connect() connect()
read()/recv() recv()
write() send()
shutdown() WSACleanup()

Persistencia

Registro Archivo Servicio
RegCreateKeyEx() GetTempPath() OpenSCManager
RegOpenKeyEx() CopyFile() CreateService()
RegSetValueEx() CreateFile() StartServiceCtrlDispatcher()
RegDeleteKeyEx() WriteFile()
RegGetValue() ReadFile()

Cifrado

Nombre
WinCrypt
CryptAcquireContext()
CryptGenKey()
CryptDeriveKey()
CryptDecrypt()
CryptReleaseContext()

Anti-Análisis/VM

Nombre de Función Instrucciones de Ensamblaje
IsDebuggerPresent() CPUID()
GetSystemInfo() IN()
GlobalMemoryStatusEx()
GetVersion()
CreateToolhelp32Snapshot [Verificar si un proceso corre]
CreateFileW/A [Verificar si un archivo existe]

Sigilo

Nombre
VirtualAlloc Asignar memoria (packers)
VirtualProtect Cambiar permisos de memoria (packer dando permiso de ejecución a una sección)
ReadProcessMemory Inyección en procesos externos
WriteProcessMemoryA/W Inyección en procesos externos
NtWriteVirtualMemory
CreateRemoteThread Inyección de DLL/Proceso...
NtUnmapViewOfSection
QueueUserAPC
CreateProcessInternalA/W

Ejecución

Nombre de Función
CreateProcessA/W
ShellExecute
WinExec
ResumeThread
NtResumeThread

Misceláneo

  • GetAsyncKeyState() -- Registro de teclas
  • SetWindowsHookEx -- Registro de teclas
  • GetForeGroundWindow -- Obtener nombre de ventana en ejecución (o el sitio web desde un navegador)
  • LoadLibrary() -- Importar librería
  • GetProcAddress() -- Importar librería
  • CreateToolhelp32Snapshot() -- Listar procesos en ejecución
  • GetDC() -- Captura de pantalla
  • BitBlt() -- Captura de pantalla
  • InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acceder a Internet
  • FindResource(), LoadResource(), LockResource() -- Acceder a recursos del ejecutable

Técnicas de Malware

Inyección de DLL

Ejecutar una DLL arbitraria dentro de otro proceso

  1. Localizar el proceso para inyectar la DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
  2. Abrir el proceso: GetModuleHandle, GetProcAddress, OpenProcess
  3. Escribir la ruta a la DLL dentro del proceso: VirtualAllocEx, WriteProcessMemory
  4. Crear un hilo en el proceso que cargará la DLL maliciosa: CreateRemoteThread, LoadLibrary

Otras funciones a usar: NTCreateThreadEx, RtlCreateUserThread

Inyección de DLL Reflectiva

Cargar una DLL maliciosa sin llamar a las llamadas normales de la API de Windows.
La DLL se mapea dentro de un proceso, resolverá las direcciones de importación, arreglará las reubicaciones y llamará a la función DllMain.

Secuestro de Hilo

Encontrar un hilo de un proceso y hacer que cargue una DLL maliciosa

  1. Encontrar un hilo objetivo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
  2. Abrir el hilo: OpenThread
  3. Suspender el hilo: SuspendThread
  4. Escribir la ruta a la DLL maliciosa dentro del proceso víctima: VirtualAllocEx, WriteProcessMemory
  5. Reanudar el hilo cargando la librería: ResumeThread

Inyección de PE

Inyección de Ejecución Portátil: El ejecutable se escribirá en la memoria del proceso víctima y se ejecutará desde allí.

Vaciamiento de Proceso

El malware desmapeará el código legítimo de la memoria del proceso y cargará un binario malicioso

  1. Crear un nuevo proceso: CreateProcess
  2. Desmapear la memoria: ZwUnmapViewOfSection, NtUnmapViewOfSection
  3. Escribir el binario malicioso en la memoria del proceso: VirtualAllocEc, WriteProcessMemory
  4. Establecer el punto de entrada y ejecutar: SetThreadContext, ResumeThread

Hooking

  • La SSDT (Tabla de Descriptores de Servicios del Sistema) apunta a funciones del kernel (ntoskrnl.exe) o al controlador de GUI (win32k.sys) para que los procesos de usuario puedan llamar a estas funciones.
  • Un rootkit puede modificar estos punteros a direcciones que él controla
  • Los IRP (Paquetes de Solicitud de E/S) transmiten piezas de datos de un componente a otro. Casi todo en el kernel utiliza IRPs y cada objeto de dispositivo tiene su propia tabla de funciones que se puede hook: DKOM (Manipulación Directa de Objetos del Kernel)
  • La IAT (Tabla de Direcciones de Importación) es útil para resolver dependencias. Es posible hook esta tabla para secuestrar el código que se llamará.
  • Hooks de EAT (Tabla de Direcciones de Exportación). Estos hooks se pueden hacer desde userland. El objetivo es hook funciones exportadas por DLLs.
  • Hooks en línea: Este tipo son difíciles de lograr. Esto implica modificar el código de las funciones en sí. Tal vez poniendo un salto al principio de esta.

Encuentra vulnerabilidades que importan más para poder solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: