12 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
サイバーセキュリティ会社で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
-
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
-
公式のPEASS&HackTricksのグッズを手に入れましょう。
-
💬 Discordグループまたはテレグラムグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
-
**ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。
脆弱性を見つけて修正を迅速に行いましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリまで、テックスタック全体で問題を見つけます。無料でお試しください。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
一般的な
ネットワーキング
| Raw Sockets | WinAPI Sockets |
|---|---|
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
永続性
| レジストリ | ファイル | サービス |
|---|---|---|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() |
暗号化
| 名前 |
|---|
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
アンチ解析/VM
| 関数名 | アセンブリ命令 |
|---|---|
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot [プロセスが実行中かどうかを確認] | |
| CreateFileW/A [ファイルが存在するかどうかを確認] |
ステルス
| 名前 | |
|---|---|
| VirtualAlloc | メモリの割り当て(パッカー) |
| VirtualProtect | メモリの権限変更(セクションに実行権限を与えるパッカー) |
| ReadProcessMemory | 外部プロセスへのインジェクション |
| WriteProcessMemoryA/W | 外部プロセスへのインジェクション |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/プロセスインジェクション... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W |
実行
| 関数名 |
|---|
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
その他
- GetAsyncKeyState() -- キーロギング
- SetWindowsHookEx -- キーロギング
- GetForeGroundWindow -- 実行中のウィンドウ名(またはブラウザのウェブサイト)
- LoadLibrary() -- ライブラリのインポート
- GetProcAddress() -- ライブラリのインポート
- CreateToolhelp32Snapshot() -- 実行中のプロセスのリスト
- GetDC() -- スクリーンショット
- BitBlt() -- スクリーンショット
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- インターネットへのアクセス
- FindResource(), LoadResource(), LockResource() -- 実行可能ファイルのリソースへのアクセス
マルウェアのテクニック
DLLインジェクション
他のプロセス内で任意のDLLを実行します。
- 悪意のあるDLLをインジェクションするプロセスを特定します:CreateToolhelp32Snapshot、Process32First、Process32Next
- プロセスを開きます:GetModuleHandle、GetProcAddress、OpenProcess
- プロセス内にDLLのパスを書き込みます:VirtualAllocEx、WriteProcessMemory
- 悪意のあるDLLをロードするプロセス内のスレッドを作成します:CreateRemoteThread、LoadLibrary
使用する他の関数:NTCreateThreadEx、RtlCreateUserThread
反射型DLLインジェクション
通常のWindows API呼び出しを行わずに悪意のあるDLLをロードします。
DLLはプロセス内にマップされ、インポートアドレスを解決し、リロケーションを修正し、DllMain関数を呼び出します。
スレッドハイジャッキング
プロセスからスレッドを見つけ、悪意のあるDLLを読み込ませる
- ターゲットスレッドを見つける:CreateToolhelp32Snapshot、Thread32First、Thread32Next
- スレッドを開く:OpenThread
- スレッドを一時停止する:SuspendThread
- 悪意のあるDLLのパスを被害者プロセス内に書き込む:VirtualAllocEx、WriteProcessMemory
- スレッドを再開し、ライブラリを読み込む:ResumeThread
PEインジェクション
Portable Execution Injection:実行可能ファイルが被害者プロセスのメモリに書き込まれ、そこから実行されます。
プロセスホローイング
マルウェアはプロセスのメモリから正規のコードをアンマップし、悪意のあるバイナリを読み込みます。
- 新しいプロセスを作成する:CreateProcess
- メモリをアンマップする:ZwUnmapViewOfSection、NtUnmapViewOfSection
- 悪意のあるバイナリをプロセスのメモリに書き込む:VirtualAllocEc、WriteProcessMemory
- エントリポイントを設定し、実行する:SetThreadContext、ResumeThread
フック
- SSDT(System Service Descriptor Table)は、カーネル関数(ntoskrnl.exe)またはGUIドライバ(win32k.sys)を指し示し、ユーザープロセスがこれらの関数を呼び出すことができるようにします。
- ルートキットはこれらのポインタを制御するアドレスに変更する場合があります。
- IRP(I/O Request Packets)はデータの一部をコンポーネントから別のコンポーネントに転送します。カーネルのほとんどのものはIRPを使用し、各デバイスオブジェクトにはフックできる関数テーブルがあります:DKOM(Direct Kernel Object Manipulation)
- IAT(Import Address Table)は依存関係の解決に役立ちます。このテーブルをフックして呼び出されるコードを乗っ取ることができます。
- EAT(Export Address Table)フック。これらのフックはユーザーランドから行うことができます。目的は、DLLによってエクスポートされた関数をフックすることです。
- インラインフック:このタイプは実現が難しいです。これには関数自体のコードを変更することが含まれます。たとえば、最初にジャンプを配置することで実現できます。
最も重要な脆弱性を見つけて、より速く修正できるようにしましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリまで、クラウドシステム全体にわたる問題を見つけます。無料でお試しください。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
サイバーセキュリティ企業で働いていますか? HackTricksであなたの会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか?SUBSCRIPTION PLANSをチェックしてください!
-
The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。
-
公式のPEASS&HackTricksグッズを手に入れましょう。
-
💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦@carlospolopmをフォローしてください。
-
ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。