mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-24 20:13:37 +00:00
7.9 KiB
7.9 KiB
APIs Comuns Usadas em Malwares
Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Genérico
Rede
Raw Sockets | WinAPI Sockets |
---|---|
socket() | WSAStratup() |
bind() | bind() |
listen() | listen() |
accept() | accept() |
connect() | connect() |
read()/recv() | recv() |
write() | send() |
shutdown() | WSACleanup() |
Persistência
Registro | Arquivo | Serviço |
---|---|---|
RegCreateKeyEx() | GetTempPath() | OpenSCManager |
RegOpenKeyEx() | CopyFile() | CreateService() |
RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
RegDeleteKeyEx() | WriteFile() | |
RegGetValue() | ReadFile() |
Criptografia
Nome |
---|
WinCrypt |
CryptAcquireContext() |
CryptGenKey() |
CryptDeriveKey() |
CryptDecrypt() |
CryptReleaseContext() |
Anti-Análise/VM
Nome da Função | Instruções de Assembly |
---|---|
IsDebuggerPresent() | CPUID() |
GetSystemInfo() | IN() |
GlobalMemoryStatusEx() | |
GetVersion() | |
CreateToolhelp32Snapshot [Verificar se um processo está em execução] | |
CreateFileW/A [Verificar se um arquivo existe] |
Furtividade
Nome | |
---|---|
VirtualAlloc | Alocar memória (empacotadores) |
VirtualProtect | Alterar permissão de memória (empacotador dando permissão de execução a uma seção) |
ReadProcessMemory | Injeção em processos externos |
WriteProcessMemoryA/W | Injeção em processos externos |
NtWriteVirtualMemory | |
CreateRemoteThread | Injeção de DLL/Processo... |
NtUnmapViewOfSection | |
QueueUserAPC | |
CreateProcessInternalA/W |
Execução
Nome da Função |
---|
CreateProcessA/W |
ShellExecute |
WinExec |
ResumeThread |
NtResumeThread |
Diversos
- GetAsyncKeyState() -- Registro de teclas
- SetWindowsHookEx -- Registro de teclas
- GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
- LoadLibrary() -- Importar biblioteca
- GetProcAddress() -- Importar biblioteca
- CreateToolhelp32Snapshot() -- Listar processos em execução
- GetDC() -- Captura de tela
- BitBlt() -- Captura de tela
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet
- FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável
Técnicas de Malware
Injeção de DLL
Execute uma DLL arbitrária dentro de outro processo
- Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
- Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess
- Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
- Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary
Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread
Injeção de DLL Reflexiva
Carregue uma DLL maliciosa sem chamar chamadas normais de API do Windows.
A DLL é mapeada dentro de um processo, resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.
Sequestro de Thread
Encontre um thread de um processo e faça-o carregar uma DLL maliciosa
- Encontre um thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
- Abra o thread: OpenThread
- Suspenda o thread: SuspendThread
- Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory
- Retome o thread carregando a biblioteca: ResumeThread
Injeção de PE
Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir dali.
Oco de Processo
O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso
- Crie um novo processo: CreateProcess
- Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
- Escreva o binário malicioso na memória do processo: VirtualAllocEc, WriteProcessMemory
- Defina o ponto de entrada e execute: SetThreadContext, ResumeThread
Hooking
- A SSDT (System Service Descriptor Table) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que processos de usuário possam chamar essas funções.
- Um rootkit pode modificar esses ponteiros para endereços que ele controla
- IRP (I/O Request Packets) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser hookada: DKOM (Direct Kernel Object Manipulation)
- O IAT (Import Address Table) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado.
- EAT (Export Address Table) Hooks. Esses hooks podem ser feitos do userland. O objetivo é hookar funções exportadas por DLLs.
- Hooks Inline: Esse tipo é difícil de alcançar. Isso envolve modificar o código das funções em si. Talvez colocando um salto no início disso.
- Compartilhe seus truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud no GitHub.