Common API used in Malware

Γενικά

Δικτύωση

Επιμονή

Κρυπτογράφηση

Αντι-Ανάλυση/VM

Αόρατο

Εκτέλεση

Διάφορα

• GetAsyncKeyState() -- Καταγραφή πλήκτρων

• SetWindowsHookEx -- Καταγραφή πλήκτρων

• GetForeGroundWindow -- Λάβετε το όνομα του εκτελούμενου παραθύρου (ή της ιστοσελίδας από έναν περιηγητή)

• LoadLibrary() -- Εισαγωγή βιβλιοθήκης

• GetProcAddress() -- Εισαγωγή βιβλιοθήκης

• CreateToolhelp32Snapshot() -- Λίστα εκτελούμενων διαδικασιών

• GetDC() -- Στιγμιότυπο οθόνης

• BitBlt() -- Στιγμιότυπο οθόνης

• InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Πρόσβαση στο Διαδίκτυο

• FindResource(), LoadResource(), LockResource() -- Πρόσβαση σε πόρους του εκτελέσιμου

Τεχνικές Κακόβουλου Λογισμικού

Ένεση DLL

Εκτελέστε μια αυθαίρετη DLL μέσα σε άλλη διαδικασία

1. Εντοπίστε τη διαδικασία για να εγχύσετε τη κακόβουλη DLL: CreateToolhelp32Snapshot, Process32First, Process32Next

2. Ανοίξτε τη διαδικασία: GetModuleHandle, GetProcAddress, OpenProcess

3. Γράψτε τη διαδρομή προς τη DLL μέσα στη διαδικασία: VirtualAllocEx, WriteProcessMemory

4. Δημιουργήστε ένα νήμα στη διαδικασία που θα φορτώσει τη κακόβουλη DLL: CreateRemoteThread, LoadLibrary

Άλλες συναρτήσεις που μπορείτε να χρησιμοποιήσετε: NTCreateThreadEx, RtlCreateUserThread

Αντανακλαστική Ένεση DLL

Φορτώστε μια κακόβουλη DLL χωρίς να καλέσετε κανονικές κλήσεις API των Windows. Η DLL είναι χαρτογραφημένη μέσα σε μια διαδικασία, θα επιλύσει τις διευθύνσεις εισαγωγής, θα διορθώσει τις μετατοπίσεις και θα καλέσει τη συνάρτηση DllMain.

Υφαρπαγή Νήματος

Βρείτε ένα νήμα από μια διαδικασία και κάντε το να φορτώσει μια κακόβουλη DLL

1. Βρείτε ένα στοχευμένο νήμα: CreateToolhelp32Snapshot, Thread32First, Thread32Next

2. Ανοίξτε το νήμα: OpenThread

3. Αναστείλετε το νήμα: SuspendThread

4. Γράψτε τη διαδρομή προς τη κακόβουλη DLL μέσα στη διαδικασία του θύματος: VirtualAllocEx, WriteProcessMemory

5. Επαναφέρετε το νήμα φορτώνοντας τη βιβλιοθήκη: ResumeThread

Ένεση PE

Ένεση Εκτελέσιμου: Το εκτελέσιμο θα γραφτεί στη μνήμη της διαδικασίας του θύματος και θα εκτελείται από εκεί.

Κενό Διαδικασίας

Το κακόβουλο λογισμικό θα αφαιρέσει τον νόμιμο κώδικα από τη μνήμη της διαδικασίας και θα φορτώσει ένα κακόβουλο δυαδικό αρχείο

1. Δημιουργήστε μια νέα διαδικασία: CreateProcess

2. Αφαιρέστε τη μνήμη: ZwUnmapViewOfSection, NtUnmapViewOfSection

3. Γράψτε το κακόβουλο δυαδικό αρχείο στη μνήμη της διαδικασίας: VirtualAllocEc, WriteProcessMemory

4. Ορίστε το σημείο εισόδου και εκτελέστε: SetThreadContext, ResumeThread

Hooking

• Ο SSDT (Πίνακας Περιγραφής Υπηρεσιών Συστήματος) δείχνει σε συναρτήσεις πυρήνα (ntoskrnl.exe) ή GUI driver (win32k.sys) ώστε οι διαδικασίες χρήστη να μπορούν να καλέσουν αυτές τις συναρτήσεις.

• Ένα rootkit μπορεί να τροποποιήσει αυτούς τους δείκτες σε διευθύνσεις που ελέγχει

• IRP (Πακέτα Αιτήσεων I/O) μεταφέρουν κομμάτια δεδομένων από ένα συστατικό σε άλλο. Σχεδόν τα πάντα στον πυρήνα χρησιμοποιούν IRPs και κάθε αντικείμενο συσκευής έχει τον δικό του πίνακα συναρτήσεων που μπορεί να συνδεθεί: DKOM (Άμεση Manipulation Αντικειμένων Πυρήνα)

• Ο IAT (Πίνακας Διευθύνσεων Εισαγωγής) είναι χρήσιμος για την επίλυση εξαρτήσεων. Είναι δυνατή η σύνδεση αυτού του πίνακα προκειμένου να υπεξαιρεθεί ο κώδικας που θα κληθεί.

• EAT (Πίνακας Διευθύνσεων Εξαγωγής) Hooks. Αυτές οι συνδέσεις μπορούν να γίνουν από userland. Ο στόχος είναι να συνδεθούν οι εξαγόμενες συναρτήσεις από DLLs.

• Inline Hooks: Αυτός ο τύπος είναι δύσκολος να επιτευχθεί. Αυτό περιλαμβάνει την τροποποίηση του κώδικα των συναρτήσεων αυτών. Ίσως βάζοντας ένα άλμα στην αρχή τους.