Κοινό API που χρησιμοποιείται σε κακόβουλο λογισμικό

Reading time: 4 minutes

Γενικά

Δικτύωση

Επιμονή

Κρυπτογράφηση

Αντι-Ανάλυση/VM

Αόρατο

Εκτέλεση

Διάφορα

• GetAsyncKeyState() -- Key logging
• SetWindowsHookEx -- Key logging
• GetForeGroundWindow -- Get running window name (or the website from a browser)
• LoadLibrary() -- Import library
• GetProcAddress() -- Import library
• CreateToolhelp32Snapshot() -- List running processes
• GetDC() -- Screenshot
• BitBlt() -- Screenshot
• InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Access the Internet
• FindResource(), LoadResource(), LockResource() -- Access resources of the executable

Τεχνικές Κακόβουλου Λογισμικού

DLL Injection

Εκτέλεση μιας αυθαίρετης DLL μέσα σε άλλη διαδικασία

1. Εντοπίστε τη διαδικασία για να εισάγετε τη κακόβουλη DLL: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Ανοίξτε τη διαδικασία: GetModuleHandle, GetProcAddress, OpenProcess
3. Γράψτε τη διαδρομή στη DLL μέσα στη διαδικασία: VirtualAllocEx, WriteProcessMemory
4. Δημιουργήστε ένα νήμα στη διαδικασία που θα φορτώσει τη κακόβουλη DLL: CreateRemoteThread, LoadLibrary

Άλλες συναρτήσεις που μπορείτε να χρησιμοποιήσετε: NTCreateThreadEx, RtlCreateUserThread

Reflective DLL Injection

Φορτώστε μια κακόβουλη DLL χωρίς να καλέσετε κανονικές κλήσεις API των Windows.
Η DLL είναι χαρτογραφημένη μέσα σε μια διαδικασία, θα επιλύσει τις διευθύνσεις εισαγωγής, θα διορθώσει τις μετατοπίσεις και θα καλέσει τη συνάρτηση DllMain.

Thread Hijacking

Βρείτε ένα νήμα από μια διαδικασία και κάντε το να φορτώσει μια κακόβουλη DLL

1. Βρείτε ένα στοχευμένο νήμα: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Ανοίξτε το νήμα: OpenThread
3. Αναστείλετε το νήμα: SuspendThread
4. Γράψτε τη διαδρομή στη κακόβουλη DLL μέσα στη διαδικασία του θύματος: VirtualAllocEx, WriteProcessMemory
5. Επαναφέρετε το νήμα φορτώνοντας τη βιβλιοθήκη: ResumeThread

PE Injection

Portable Execution Injection: Το εκτελέσιμο θα γραφτεί στη μνήμη της διαδικασίας του θύματος και θα εκτελείται από εκεί.

Process Hollowing

Το κακόβουλο λογισμικό θα αφαιρέσει τον νόμιμο κώδικα από τη μνήμη της διαδικασίας και θα φορτώσει ένα κακόβουλο δυαδικό αρχείο

1. Δημιουργήστε μια νέα διαδικασία: CreateProcess
2. Αφαιρέστε τη μνήμη: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Γράψτε το κακόβουλο δυαδικό αρχείο στη μνήμη της διαδικασίας: VirtualAllocEc, WriteProcessMemory
4. Ορίστε το σημείο εισόδου και εκτελέστε: SetThreadContext, ResumeThread

Hooking

• Ο SSDT (System Service Descriptor Table) δείχνει σε συναρτήσεις πυρήνα (ntoskrnl.exe) ή GUI driver (win32k.sys) ώστε οι διαδικασίες χρήστη να μπορούν να καλέσουν αυτές τις συναρτήσεις.
• Ένα rootkit μπορεί να τροποποιήσει αυτούς τους δείκτες σε διευθύνσεις που ελέγχει
• IRP (I/O Request Packets) μεταφέρουν κομμάτια δεδομένων από ένα συστατικό σε άλλο. Σχεδόν τα πάντα στον πυρήνα χρησιμοποιούν IRPs και κάθε αντικείμενο συσκευής έχει τη δική του πίνακα συναρτήσεων που μπορεί να συνδεθεί: DKOM (Direct Kernel Object Manipulation)
• Ο IAT (Import Address Table) είναι χρήσιμος για την επίλυση εξαρτήσεων. Είναι δυνατόν να συνδεθεί αυτός ο πίνακας προκειμένου να αναληφθεί ο κώδικας που θα κληθεί.
• EAT (Export Address Table) Hooks. Αυτά τα hooks μπορούν να γίνουν από userland. Ο στόχος είναι να συνδεθούν οι εξαγόμενες συναρτήσεις από DLLs.
• Inline Hooks: Αυτός ο τύπος είναι δύσκολος να επιτευχθεί. Αυτό περιλαμβάνει την τροποποίηση του κώδικα των συναρτήσεων αυτών καθαυτών. Ίσως βάζοντας ένα άλμα στην αρχή τους.