mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-22 20:53:37 +00:00
7.6 KiB
7.6 KiB
악성코드에서 사용되는 일반 API
htARTE (HackTricks AWS Red Team Expert)로부터 AWS 해킹을 제로부터 전문가까지 배우세요!
HackTricks를 지원하는 다른 방법:
- 회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
- 공식 PEASS & HackTricks 스왜그를 구매하세요
- The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
- 💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @carlospolopm를 팔로우하세요.
- HackTricks 및 HackTricks Cloud github 저장소로 PR을 제출하여 해킹 트릭을 공유하세요.
일반
네트워킹
| Raw Sockets | WinAPI Sockets |
|---|---|
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
지속성
| 레지스트리 | 파일 | 서비스 |
|---|---|---|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() |
암호화
| 이름 |
|---|
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
안티 분석/가상 머신
| 함수 이름 | 어셈블리 명령어 |
|---|---|
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot [프로세스 실행 여부 확인] | |
| CreateFileW/A [파일 존재 여부 확인] |
은신
| 이름 | |
|---|---|
| VirtualAlloc | 메모리 할당 (패커) |
| VirtualProtect | 메모리 권한 변경 (섹션에 실행 권한 부여하는 패커) |
| ReadProcessMemory | 외부 프로세스에 주입 |
| WriteProcessMemoryA/W | 외부 프로세스에 주입 |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/프로세스 주입... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W |
실행
| 함수 이름 |
|---|
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
기타
- GetAsyncKeyState() -- 키 로깅
- SetWindowsHookEx -- 키 로깅
- GetForeGroundWindow -- 실행 중인 창 이름(또는 브라우저의 웹사이트)
- LoadLibrary() -- 라이브러리 가져오기
- GetProcAddress() -- 라이브러리 가져오기
- CreateToolhelp32Snapshot() -- 실행 중인 프로세스 목록
- GetDC() -- 스크린샷
- BitBlt() -- 스크린샷
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- 인터넷 접근
- FindResource(), LoadResource(), LockResource() -- 실행 파일의 리소스 접근
악성코드 기법
DLL 주입
다른 프로세스 내에서 임의의 DLL을 실행
- 악성 DLL을 주입할 프로세스 찾기: CreateToolhelp32Snapshot, Process32First, Process32Next
- 프로세스 열기: GetModuleHandle, GetProcAddress, OpenProcess
- DLL 경로를 프로세스 내부에 쓰기: VirtualAllocEx, WriteProcessMemory
- 악성 DLL을 로드할 프로세스 내에서 스레드 생성: CreateRemoteThread, LoadLibrary
사용할 다른 함수: NTCreateThreadEx, RtlCreateUserThread
반사적 DLL 주입
일반 Windows API 호출을 하지 않고 악성 DLL을 로드합니다.
DLL은 프로세스 내에 매핑되며, 가져오기 주소를 해결하고 재배치를 수정하고 DllMain 함수를 호출합니다.
스레드 하이재킹
프로세스에서 스레드를 찾아 악성 DLL을 로드하도록 만듭니다.
- 대상 스레드 찾기: CreateToolhelp32Snapshot, Thread32First, Thread32Next
- 스레드 열기: OpenThread
- 스레드 일시 중지: SuspendThread
- 피해 프로세스 내부에 악성 DLL 경로 쓰기: VirtualAllocEx, WriteProcessMemory
- 라이브러리를 로드하는 스레드 재개: ResumeThread
PE 주입
Portable Execution Injection: 실행 파일이 피해 프로세스의 메모리에 작성되고 그곳에서 실행됩니다.
프로세스 할로잉
악성 코드는 프로세스의 메모리에서 합법적인 코드를 언매핑하고 악성 이진 파일을 로드합니다.
- 새 프로세스 생성: CreateProcess
- 메모리 언매핑: ZwUnmapViewOfSection, NtUnmapViewOfSection
- 프로세스 메모리에 악성 이진 파일 쓰기: VirtualAllocEc, WriteProcessMemory
- 진입점 설정 및 실행: SetThreadContext, ResumeThread
후킹
- SSDT (System Service Descriptor Table)는 사용자 프로세스가 커널 함수 (ntoskrnl.exe) 또는 GUI 드라이버 (win32k.sys)를 호출할 수 있도록 하는 포인터입니다.
- 루트킷은 이러한 포인터를 제어하는 주소로 수정할 수 있습니다.
- IRP (I/O Request Packets)는 데이터 조각을 한 구성 요소에서 다른 구성 요소로 전송합니다. 커널의 거의 모든 것이 IRP를 사용하며 각 장치 객체에는 후킹할 수 있는 자체 함수 테이블이 있습니다: DKOM (Direct Kernel Object Manipulation)
- IAT (Import Address Table)은 종속성을 해결하는 데 유용합니다. 호출될 코드를 탈취하기 위해 이 테이블을 후킹할 수 있습니다.
- EAT (Export Address Table) 후킹. 이러한 후킹은 사용자 랜드에서 수행할 수 있습니다. 목표는 DLL에 의해 내보낸 함수를 후킹하는 것입니다.
- 인라인 후킹: 이 유형은 어렵습니다. 이는 함수 자체의 코드를 수정하는 것을 포함합니다. 아마도 이를 위해 시작 부분에 점프를 넣는 것일 수 있습니다.