Intigriti

Intigriti is the Europe's #1 ethical hacking and bug bounty platform.
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us today and start earning bounties up to $100,000!

Register

API Comum Usada em Malware

Reading time: 4 minutes

Genérico

Rede

Persistência

Criptografia

Anti-Análise/VM

Stealth

Execução

Diversos

• GetAsyncKeyState() -- Registro de teclas
• SetWindowsHookEx -- Registro de teclas
• GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
• LoadLibrary() -- Importar biblioteca
• GetProcAddress() -- Importar biblioteca
• CreateToolhelp32Snapshot() -- Listar processos em execução
• GetDC() -- Captura de tela
• BitBlt() -- Captura de tela
• InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acesso à Internet
• FindResource(), LoadResource(), LockResource() -- Acesso a recursos do executável

Técnicas de Malware

Injeção de DLL

Executar uma DLL arbitrária dentro de outro processo

1. Localizar o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Abrir o processo: GetModuleHandle, GetProcAddress, OpenProcess
3. Escrever o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
4. Criar uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary

Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread

Injeção de DLL Reflexiva

Carregar uma DLL maliciosa sem chamar as chamadas normais da API do Windows.
A DLL é mapeada dentro de um processo, resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.

Sequestro de Thread

Encontrar uma thread de um processo e fazê-la carregar uma DLL maliciosa

1. Encontrar uma thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Abrir a thread: OpenThread
3. Suspender a thread: SuspendThread
4. Escrever o caminho para a DLL maliciosa dentro do processo da vítima: VirtualAllocEx, WriteProcessMemory
5. Retomar a thread carregando a biblioteca: ResumeThread

Injeção PE

Injeção de Execução Portátil: O executável será escrito na memória do processo da vítima e será executado a partir daí.

Hollowing de Processo

O malware irá desmapear o código legítimo da memória do processo e carregar um binário malicioso

1. Criar um novo processo: CreateProcess
2. Desmapear a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Escrever o binário malicioso na memória do processo: VirtualAllocEc, WriteProcessMemory
4. Definir o ponto de entrada e executar: SetThreadContext, ResumeThread

Hooking

• O SSDT (Tabela de Descritores de Serviço do Sistema) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que processos de usuário possam chamar essas funções.
• Um rootkit pode modificar esses ponteiros para endereços que ele controla.
• IRP (Pacotes de Solicitação de I/O) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser hookada: DKOM (Manipulação Direta de Objetos do Kernel).
• A IAT (Tabela de Endereços de Importação) é útil para resolver dependências. É possível hookar esta tabela para sequestrar o código que será chamado.
• EAT (Tabela de Endereços de Exportação) Hooks. Esses hooks podem ser feitos a partir do userland. O objetivo é hookar funções exportadas por DLLs.
• Inline Hooks: Este tipo é difícil de alcançar. Isso envolve modificar o código das próprias funções. Talvez colocando um salto no início delas.