Common API used in Malware

Загальні

Мережа

Постійність

Шифрування

Анти-аналіз/VM

Схованість

Виконання

Різне

• GetAsyncKeyState() -- Логування клавіш

• SetWindowsHookEx -- Логування клавіш

• GetForeGroundWindow -- Отримати назву активного вікна (або вебсайту з браузера)

• LoadLibrary() -- Імпорт бібліотеки

• GetProcAddress() -- Імпорт бібліотеки

• CreateToolhelp32Snapshot() -- Список запущених процесів

• GetDC() -- Скриншот

• BitBlt() -- Скриншот

• InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Доступ до Інтернету

• FindResource(), LoadResource(), LockResource() -- Доступ до ресурсів виконуваного файлу

Техніки шкідливого ПЗ

Ін'єкція DLL

Виконати довільну DLL всередині іншого процесу

1. Знайти процес для ін'єкції шкідливої DLL: CreateToolhelp32Snapshot, Process32First, Process32Next

2. Відкрити процес: GetModuleHandle, GetProcAddress, OpenProcess

3. Записати шлях до DLL всередині процесу: VirtualAllocEx, WriteProcessMemory

4. Створити потік у процесі, який завантажить шкідливу DLL: CreateRemoteThread, LoadLibrary

Інші функції для використання: NTCreateThreadEx, RtlCreateUserThread

Рефлексивна ін'єкція DLL

Завантажити шкідливу DLL без виклику звичайних API Windows. DLL відображається всередині процесу, вона вирішить адреси імпорту, виправить переміщення та викличе функцію DllMain.

Викрадення потоку

Знайти потік з процесу та змусити його завантажити шкідливу DLL

1. Знайти цільовий потік: CreateToolhelp32Snapshot, Thread32First, Thread32Next

2. Відкрити потік: OpenThread

3. Призупинити потік: SuspendThread

4. Записати шлях до шкідливої DLL всередині процесу жертви: VirtualAllocEx, WriteProcessMemory

5. Відновити потік, що завантажує бібліотеку: ResumeThread

Ін'єкція PE

Ін'єкція Portable Execution: Виконуваний файл буде записаний у пам'яті процесу жертви та буде виконаний звідти.

Порожнє процесу

Шкідливе ПЗ зніме легітимний код з пам'яті процесу та завантажить шкідливий бінарний файл

1. Створити новий процес: CreateProcess

2. Зняти відображення пам'яті: ZwUnmapViewOfSection, NtUnmapViewOfSection

3. Записати шкідливий бінарний файл у пам'яті процесу: VirtualAllocEc, WriteProcessMemory

4. Встановити точку входу та виконати: SetThreadContext, ResumeThread

Хукінг

• SSDT (Таблиця дескрипторів системних служб) вказує на функції ядра (ntoskrnl.exe) або драйвера GUI (win32k.sys), щоб користувацькі процеси могли викликати ці функції.

• Руткіт може змінити ці вказівники на адреси, які він контролює

• IRP (Пакети запитів вводу/виводу) передають частини даних з одного компонента в інший. Практично все в ядрі використовує IRP, і кожен об'єкт пристрою має свою власну таблицю функцій, яку можна підключити: DKOM (Пряме маніпулювання об'єктами ядра)

• IAT (Таблиця адрес імпорту) корисна для вирішення залежностей. Можливо підключити цю таблицю, щоб перехопити код, який буде викликано.

• EAT (Таблиця адрес експорту) Хуки. Ці хуки можуть бути виконані з userland. Мета полягає в тому, щоб підключити експортовані функції бібліотек DLL.

• Inline Hooks: Цей тип важко досягти. Це передбачає модифікацію коду самих функцій. Можливо, шляхом вставлення стрибка на початку цього.