Common API used in Malware
Try Hard Security Group
일반
네트워킹
| Raw Sockets | WinAPI Sockets |
|---|---|
socket() | WSAStratup() |
bind() | bind() |
listen() | listen() |
accept() | accept() |
connect() | connect() |
read()/recv() | recv() |
write() | send() |
shutdown() | WSACleanup() |
지속성
| 레지스트리 | 파일 | 서비스 |
|---|---|---|
RegCreateKeyEx() | GetTempPath() | OpenSCManager |
RegOpenKeyEx() | CopyFile() | CreateService() |
RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
RegDeleteKeyEx() | WriteFile() | |
RegGetValue() | ReadFile() |
암호화
| 이름 |
|---|
WinCrypt |
CryptAcquireContext() |
CryptGenKey() |
CryptDeriveKey() |
CryptDecrypt() |
CryptReleaseContext() |
안티-분석/가상 머신
| 함수 이름 | 어셈블리 명령어 |
|---|---|
IsDebuggerPresent() | CPUID() |
GetSystemInfo() | IN() |
GlobalMemoryStatusEx() | |
GetVersion() | |
CreateToolhelp32Snapshot [프로세스 실행 여부 확인] | |
CreateFileW/A [파일 존재 여부 확인] |
은신
| 이름 | |
|---|---|
VirtualAlloc | 메모리 할당 (패커) |
VirtualProtect | 메모리 권한 변경 (패커가 섹션에 실행 권한 부여) |
ReadProcessMemory | 외부 프로세스에 주입 |
WriteProcessMemoryA/W | 외부 프로세스에 주입 |
NtWriteVirtualMemory | |
CreateRemoteThread | DLL/프로세스 주입... |
NtUnmapViewOfSection | |
QueueUserAPC | |
CreateProcessInternalA/W |
실행
| 함수 이름 |
|---|
CreateProcessA/W |
ShellExecute |
WinExec |
ResumeThread |
NtResumeThread |
기타
GetAsyncKeyState() -- 키 로깅
SetWindowsHookEx -- 키 로깅
GetForeGroundWindow -- 실행 중인 창 이름(또는 브라우저의 웹사이트) 가져오기
LoadLibrary() -- 라이브러리 가져오기
GetProcAddress() -- 라이브러리 가져오기
CreateToolhelp32Snapshot() -- 실행 중인 프로세스 목록
GetDC() -- 스크린샷
BitBlt() -- 스크린샷
InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- 인터넷 액세스
FindResource(), LoadResource(), LockResource() -- 실행 파일의 리소스 액세스
악성 소프트웨어 기법
DLL 주입
다른 프로세스 내에서 임의의 DLL을 실행
악성 DLL을 주입할 프로세스 찾기: CreateToolhelp32Snapshot, Process32First, Process32Next
프로세스 열기: GetModuleHandle, GetProcAddress, OpenProcess
DLL 경로를 프로세스 내부에 쓰기: VirtualAllocEx, WriteProcessMemory
악성 DLL을 로드할 프로세스 내 스레드 생성: CreateRemoteThread, LoadLibrary
사용할 다른 함수: NTCreateThreadEx, RtlCreateUserThread
반사적 DLL 주입
일반 Windows API 호출을 하지 않고 악성 DLL을 로드합니다. DLL은 프로세스 내에 매핑되며, 가져오기 주소를 해결하고 재배치를 수정하고 DllMain 함수를 호출합니다.
스레드 하이재킹
프로세스에서 스레드를 찾아 악성 DLL을 로드하도록 만듭니다.
대상 스레드 찾기: CreateToolhelp32Snapshot, Thread32First, Thread32Next
스레드 열기: OpenThread
스레드 일시 중지: SuspendThread
피해 프로세스 내 악성 DLL 경로 쓰기: VirtualAllocEx, WriteProcessMemory
라이브러리를 로드하는 스레드 재개: ResumeThread
PE 주입
포터블 실행 주입: 실행 파일이 피해 프로세스의 메모리에 작성되고 그곳에서 실행됩니다.
프로세스 할로잉
악성 코드를 메모리에서 합법적인 코드를 언매핑하고 로드합니다.
새 프로세스 생성: CreateProcess
메모리 언매핑: ZwUnmapViewOfSection, NtUnmapViewOfSection
악성 이진 파일을 프로세스 메모리에 쓰기: VirtualAllocEc, WriteProcessMemory
진입점 설정 및 실행: SetThreadContext, ResumeThread
후킹
SSDT (System Service Descriptor Table)는 사용자 프로세스가 커널 함수 (ntoskrnl.exe) 또는 GUI 드라이버 (win32k.sys)를 호출할 수 있도록 하는 테이블을 가리킵니다.
루트킷은 이러한 포인터를 자신이 제어하는 주소로 수정할 수 있습니다.
IRP (I/O Request Packets)는 데이터 조각을 한 구성 요소에서 다른 구성 요소로 전송합니다. 커널의 거의 모든 것이 IRP를 사용하며 각 장치 객체에는 후킹할 수 있는 자체 함수 테이블이 있습니다: DKOM (Direct Kernel Object Manipulation)
IAT (Import Address Table)은 종속성을 해결하는 데 유용합니다. 호출될 코드를 탈취하기 위해 이 테이블을 후킹할 수 있습니다.
EAT (Export Address Table) 후킹. 이러한 후킹은 사용자 공간에서 수행할 수 있습니다. 목표는 DLL에 의해 내보낸 함수를 후킹하는 것입니다.
인라인 후킹: 이 유형은 어렵습니다. 이는 함수 코드 자체를 수정하는 것을 포함합니다. 아마도 이를 위해 시작 부분에 점프를 넣는 것일 수 있습니다.
Try Hard Security Group
* **HackTricks** 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 저장소에 PR을 제출하여 해킹 기법을 공유하세요.
Last updated
