Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-20 01:55:46 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/reversing/common-api-used-in-malware.md

9.8 KiB
Raw Blame History

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. Experimente gratuitamente hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Genérico

Rede

Sockets Brutos Sockets WinAPI
socket() WSAStratup()
bind() bind()
listen() listen()
accept() accept()
connect() connect()
read()/recv() recv()
write() send()
shutdown() WSACleanup()

Persistência

Registro Arquivo Serviço
RegCreateKeyEx() GetTempPath() OpenSCManager
RegOpenKeyEx() CopyFile() CreateService()
RegSetValueEx() CreateFile() StartServiceCtrlDispatcher()
RegDeleteKeyEx() WriteFile()
RegGetValue() ReadFile()

Criptografia

Nome
WinCrypt
CryptAcquireContext()
CryptGenKey()
CryptDeriveKey()
CryptDecrypt()
CryptReleaseContext()

Anti-Análise/VM

Nome da Função Instruções de Assembly
IsDebuggerPresent() CPUID()
GetSystemInfo() IN()
GlobalMemoryStatusEx()
GetVersion()
CreateToolhelp32Snapshot [Verificar se um processo está em execução]
CreateFileW/A [Verificar se um arquivo existe]

Furtividade

Nome
VirtualAlloc Alocar memória (packers)
VirtualProtect Alterar permissão de memória (packer dando permissão de execução a uma seção)
ReadProcessMemory Injeção em processos externos
WriteProcessMemoryA/W Injeção em processos externos
NtWriteVirtualMemory
CreateRemoteThread Injeção de DLL/Processo...
NtUnmapViewOfSection
QueueUserAPC
CreateProcessInternalA/W

Execução

Nome da Função
CreateProcessA/W
ShellExecute
WinExec
ResumeThread
NtResumeThread

Diversos

  • GetAsyncKeyState() -- Registro de teclas
  • SetWindowsHookEx -- Registro de teclas
  • GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
  • LoadLibrary() -- Importar biblioteca
  • GetProcAddress() -- Importar biblioteca
  • CreateToolhelp32Snapshot() -- Listar processos em execução
  • GetDC() -- Captura de tela
  • BitBlt() -- Captura de tela
  • InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet
  • FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável

Técnicas de Malware

Injeção de DLL

Executar uma DLL arbitrária dentro de outro processo

  1. Localizar o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
  2. Abrir o processo: GetModuleHandle, GetProcAddress, OpenProcess
  3. Escrever o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
  4. Criar uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary

Outras funções a usar: NTCreateThreadEx, RtlCreateUserThread

Injeção de DLL Reflexiva

Carregar uma DLL maliciosa sem chamar chamadas normais da API do Windows.
A DLL é mapeada dentro de um processo, ela resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.

Sequestro de Thread

Encontrar uma thread de um processo e fazê-la carregar uma DLL maliciosa

  1. Encontrar uma thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
  2. Abrir a thread: OpenThread
  3. Suspender a thread: SuspendThread
  4. Escrever o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory
  5. Retomar a thread carregando a biblioteca: ResumeThread

Injeção de PE

Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir daí.

Esvaziamento de Processo

O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso

  1. Criar um novo processo: CreateProcess
  2. Desmapear a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
  3. Escrever o binário malicioso na memória do processo: VirtualAllocEc, WriteProcessMemory
  4. Definir o ponto de entrada e executar: SetThreadContext, ResumeThread

Hooking

  • A SSDT (System Service Descriptor Table) aponta para funções do kernel (ntoskrnl.exe) ou driver de GUI (win32k.sys) para que processos de usuário possam chamar essas funções.
  • Um rootkit pode modificar esses ponteiros para endereços que ele controla
  • IRP (I/O Request Packets) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser interceptada: DKOM (Direct Kernel Object Manipulation)
  • A IAT (Import Address Table) é útil para resolver dependências. É possível interceptar essa tabela para sequestrar o código que será chamado.
  • EAT (Export Address Table) Hooks. Esses ganchos podem ser feitos do userland. O objetivo é interceptar funções exportadas por DLLs.
  • Inline Hooks: Esse tipo é difícil de alcançar. Isso envolve modificar o código das próprias funções. Talvez colocando um salto no início desta.

Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. Experimente gratuitamente hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks: