ic4rta/Guia-MalDev

Pequeña guia que hice sobre el desarrollo de malware y tecnicas que son usadas

Guia Desarrollo de Malware

Esta es una pequeña guia de como empezar a desarrollar malware donde te pondre recursos en orden cronologico, los puntos que tome en cuenta para hacer esta guia fueron:

• Hacer todo manual
• Programar todo desde cero en C/C++ y ensamblador
• No se tiene nada de conocimiento de como funciona una computadora (internamente), en programacion, redes y sistemas operativos
• Todos los recursos mostrados son gratis

Nota: Solo soy un aprendiz y aficionado que quiso compartir estos recursos para los intersados en el tema

Nota 2: Investiga aun mas por tu cuenta

Nota 3: Pequeño "foro" por si tienes algunas duda, aportacion, opinion, etc: Click aqui o en el apartado de "Discussions"

🟤 Fundamentos

• Fundamentos de windows

  • THM Pt1
  • THM Pt2
  • THM Pt3
  • HTB Windows Fundamentals (por si no quieres usar THM)

• Fundamentos de Linux

  • HTB Linux Fundamentals
  • Linux Full Course - 11 Hours [2024] | Linux Tutorial For Beginners | Linux Training | Edureka
  • Linux Basics For Hackers

• Fundamentos en Redes

  • THM: ¿Que es una red?
  • THM: Introduccion al networking
  • HTB: Introduccion al networking
  • Computer Networking Full Course - OSI Model Deep Dive with Real Life Examples
  • droix3d: Modelo TCP-IP

• Introduccion a PowerShell

  • Pequeña introduccion por Microsoft
  • PowerShell 101 por Microsoft
  • Powershell Training Full Course for Beginners [Tutorial] |Windows Powershell Training

• Linux Shells (comandos y demas) Esto podria ser complementario con la parte de Fudamentos en Linux

  • Linux Strength Training - THM
  • Overthewrite Bandit
  • HackMyVM - Laboratorios Hades y Venus

• Sistemas operativos

  • Operating System Concepts

    Esto es debatible, por que este libro aparte de darte conceptos basicos, te enseñara cosas sobre arquitectura de computadoras donde tendras que programar en C y ensamblador, y tomando en cuenta que esta guia lleva un orden, en este punto aun no se entra en materia de programacion.

    Si solo quieres una pequeña introduccion sobre como funciona una compu, el CPU, la administracion de memoria, los procesos, etc, puedes leer hasta la parte 2.10 o hasta la pagina 102

    Adicionalmente puedes saltarte hasta el capítulo 10 (página 389) para conocer acerca del VAS (Virtual Adress Space)

• Archivos PE y ELF

  • A brief introduction to PE format
  • Malware Theory - Basic Structure of PE Files
  • In-depth: ELF - The Extensible & Linkable Format
  • Serie de post de la estructura de los ELF

🟢 Introduccion a la programacion en C/C++

• Logica de programacion:

  • El camino del programador - lógica de programación (YouTube)

• Programacion en C/C++

  • Programacion ATS: C++
  • Learn C The Hard Way
  • Learn-C
  • C cheatsheet?

🔵 Introduccion a ensamblador

• Ensamblador x86-64 y x86

  • Curso Neomatrix, Este es full introductorio, no es mala idea verlo primero

  • Curso Solid y Ricardo Narvaja, Orientado al reversing, full practico desde un depurador

  • Open Security Training, Son como diapositivas aca rapidas con conceptos puntuales

  • Open Security Training v2, Lo mismo de arriba pero version 2 (desconozco si este es gratis)

  • 0xInfection, Orientado a la explotacion binaria y reversing, full practico desde GNU debugger

• Manejo de depuradores

  • Guia basica de windbg por xchg2pwn (gatogamer)
  • Debugging C/C++ Programs from Scratch with WinDbg: A Beginner's Guide

🟠 Shellcodes

• Desarrollo de shellcodes

  • Shellcode & syscalls - Fundacion Sadosky

  • Taller Práctico - Desarrollo de Exploits y Shellcodes para GNU/Linux

  • Windows shellcoding - part 1 - Cocomeloc

  • Linux Shellcode 101: From Hell to Shell - Axcheron

  • /bin/sh shellcode - c4rta

🟣 Introduccion a la WinAPI o Win32 API

La WinAPI es muy extensa, por lo que regularmente las funciones que se usan son las que tiene que ver con el manejo de procesos, subprocesos, y todo lo relacionado al VAS (Virtual Adress Space)

• Programando con la WinAPI

  • Introduccion a la WinAPI
  • WinAPI process management, es un PDF de Windows con todas las funciones de procesos y sub procesos, son mas de 1100 paginas

• Algunas funciones (no son todas)

  • Persistencia via el registro

    • RegCreateKeyEx
    • RegOpenKeyEx
    • RegSetValueEx

  • Cifrado (para ransomware)

    • WinCrypt header
    • CryptAcquireContext
    • CryptGenKey
    • CryptDeriveKey

  • Manejo de procesos y subprocesos

    • VirtualAlloc
    • ReadProcessMemory
    • CreateRemoteThread
    • ResumeThread
    • CreateProcess
    • CreateThread
    • CreateFileMapping
    • CreateMutex, esta es interesante por que puedes crear una exclusión mutua para que el malware se ejecuté una sola vez y no vuelva a ejecutarse si la máquina ya fue infectada

  • Keyloggers

    • GetAsyncKeyState
    • SetWindowsHookEx

🔴 Desarrollo de malware

• Introduccion a las inyecciones de proceso/codigo

  • ATT&CK
  • Malware Theory - Process Injection

• Algunas tecnicas de inyecciones de procesos/codigo, algunas tecnicas con las que puedes empezar a inyectar tus primeras shellcodes o DLLs, algunas de estas tambien puedes ser usadas para evadir los AV/EDRs, ten en cuenta que cada una funciona de diferente forma, asi que procura entenderlas y analizarlas en un depurador, tambien pueden ser aplicadas de diferentes formas

  • Shellcode via Inline Assembly
  • RemoteThreadInjection
  • DLL Injection basico
  • Thread Hijacking
  • Local Thread Hijacking
  • Shellcode via CreatePoolWait
  • Reflective DLL injection
  • Process Hollowing
  • Shellcode via Inter-Process Mapped-View
  • Ghostwriting
  • Atom Bombing
  • Process Doppelgänging
  • Early Bird APC Queue
  • Fiber injection
  • PROPagate
  • Module Stomping
  • NLS Code Injection
  • Recopilación de técnicas: https://github.com/daem0nc0re/TangledWinExec

• AntiDBG (evadir depuradores)

  • Anti-Debug Checkpoint: AntiDBG techniques
  • Noteworthy: AntiDBG techniques

• AntiVM y Anti emulacion (evadir maquinas virtuales)

  • Cynet: AntiVM techniques
  • InfoSec Institute: AntiVM techniques
  • Noteworthy: AntiVM techniques
  • DeepInstinct: AntiVM techniques

• Anti Disassembly

  • Preet Kamal: Anti disas techniques
  • Unknown: Anti disas techniques

• Timming Attacks/Ataques basados en temporizadores

  • Noteworthy timming-attacks

• Ofuscacion y Packers

  • IredTeam: Shellcode Encoders and Decoders
  • Lsec: Shellcode with XOR
  • malbot - Malware News: AES functions
  • UPX
  • The Enigma Protector
  • c3rb3ru5d3d53c: Obfuscation introduction

• RATs y C2

  • Chetan Nayak: Welcome to the Dark Side: Part 1
  • Chetan Nayak: Welcome to the Dark Side: Part 2
  • Chetan Nayak: Welcome to the Dark Side: Part 2-2
  • Chetan Nayak: Welcome to the Dark Side: Part 3
  • Chetan Nayak: Welcome to the Dark Side: Part 4

---

• API nativa o NTAPI: Como practica, puedes implementar las mismas tecnicas mostradas anteriormente pero ahora usando la NTAPI

  • ACCU Conference
  • Sysinternals Freeware
  • Inside Native Applications - MSDN
  • crow: NTAPI Injection

• Kernel Shellcodes

  • uf0: Windows Kernel Shellcodes - a compendium
  • ImproSec: Windows Kernel Shellcodes Pt1
  • ImproSec: Windows Kernel Shellcodes Pt2
  • ImproSec: Windows Kernel Shellcodes Pt3
  • ImproSec: Windows Kernel Shellcodes Pt4

---

• Programacion y explotacion de drivers

  • MSDN: Drivers Introduction
  • OSR
  • Piotr Bania: Explotacion de drivers
  • Off By One Security: Modern Windows Kernel Exploitation
  • HackSys Driver
  • Bring Your Own Vulnerable Driver (no encontre tutoriales, pero basicamente es necesario saber programar drivers o cargar uno con una vulnerabilidad intencionada, ejemplo:)
    • Stack Overflow
    • Pool Overflow
    • Use After Free
    • Type Confusion
    • Integer Overflow/Underflow
    • Null Pointer Dereference
    • Arbitrary Overwrites (Write-What-Where condition)
    • RS2 Bitmap Necromancy

---

• Creacion de rootkits

  • Seguridad y Explotacion del UEFI

    • BlackHat: Breaking Firmware Trust From Pre-EFI: Exploiting Early Boot Phases
    • Binarly: Post sobre seguridad del UEFI
    • BlackHat: Breaking Secure Bootloaders
    • BlackHat: Taking DMA Attacks to the Next Level
    • BlackHat: Analyzing UEFI BIOSes from Attacker & Defender Viewpoints
    • BlackHat: Attacking Intel BIOS
    • BlackHat: Introducing Ring -3 Rootkits
    • CanSecWest: Attacks on UEFI Security
    • DEFCON: Hacking the Extensible Firmware Interface
    • ATT&CK: Vectores de ataque de un bootkit

  • Analisis de Bootkits

    • BlackLotus
    • CosmicStrand
    • MoonBounce
    • ESPecter
    • FinSpy
    • TrickBot
    • MosaicRegressor
    • LoJax

  • Codigos fuente

    • umap
    • UEFI-Bootkit
    • SMM Backdoor
    • PEI Backdoor

  • Inline Hooking

    • Inline Hooking for Programmers - MalwareTech
    • Manually Implementing Inline Function Hooking - SecureHat
    • User-mode rootkits (I): Inline Hooking - Ruben Revuelta
    • Inline Hooking in Windows - InmuniWeb

  • SSDT Hooking

    • Hooking the System Service Dispatch Table (SSDT) - Dejan Lukan
    • KernelMode Rootkits: Part 1, SSDT hooks - Adlice
    • Hook SSDT(Shadow) - m0uk4
    • SSDT Hooking - Samsclass

  • IAT Hooking

    • User-mode rootkits (II): IAT Hooking + Dll Injection - Ruben Revuelta
    • Userland Rootkits: Part 1, IAT hooks - Adlice
    • Offensive IAT Hooking - Pentest Blog
    • How to Hook IAT table - Guide Hacking
    • BlackHat
    • Hooking Series PART I : Import Address Table Hooking - ReLearEx

  • IRP hooking y DKOM

    • KernelMode Rootkits: Part 2, IRP hooks - Adlice
    • Kernel IRP hooking - Qiyana: codigo de ejemplo
    • DKOM (Direct Kernel Object Manipulation - BlackHat
    • NixHacker: DKOM Manipulation
    • INFILTRATE: Hiding and Hooking with Windows Extension Hosts

Sourcefire, "Minicurso" de desarrollo de rootkits

RootKits and Bootkits, es muy buen libro, ya que te enseñan tecnicas que han usados rootkits para evadir AV/EDRs, sobreescribir la UEFI y BIOS, almacenarse en el chipset de la BIOS, escalar de ring 3 a ring 0, etc

Usuarios que han contribuido

Recursos adicionales

Foros

https://0x00sec.org/

Blogs

• https://cocomelonc.github.io/
• https://www.vkremez.com/
• https://0xpat.github.io/
• https://zerosum0x0.blogspot.com/
• https://www.guitmz.com/

Canales de YouTube

• GuidedHacking
• cr0w
• ActiveXSploit
• Tech69 - Playlist de Malware Development

GitHubs

• https://github.com/rootkit-io/awesome-malware-development
• https://github.com/kymb0/Malware_learns

Cursos de pago (estan gratis en internet)

• https://www.pentesteracademy.com/course?id=3
• https://www.pentesteracademy.com/course?id=50
• https://institute.sektor7.net/view/courses/red-team-operator-malware-development-essentials/
• https://institute.sektor7.net/rto-maldev-intermediate