14-10-2022, 08:46
Malware-Ersteller werden mit diesem Trick wirklich kreativ, weil es ihnen ermöglicht, mit dem Betriebssystem zu spielen, ohne das gesamte System neu zu schreiben. Nimm etwas Heimliches wie einen Keylogger. Du hookst in die API, die die Tastatureingaben verarbeitet, sagen wir GetMessage oder welche Low-Level-Funktion auch immer Tastenanschläge erfasst. Wenn dein Antivirus versucht, nach diesem Malware-Prozess zu scannen, lügt die gehookte API einfach und sagt, dass nichts da ist. Ich erinnere mich, dass ich das letztes Jahr auf einer virtuellen Maschine getestet habe - ich habe einen einfachen Hook in user32.dll injiziert, und boom, meine gefälschte Malware verschwand aus dem Task-Manager. Das Betriebssystem denkt, alles sei normal, aber du hast geändert, wie es Prozesse meldet. Du kannst auch Dateien verstecken; hook die Dateiauflistungs-APIs in kernel32, und wenn der Explorer oder ein Suchtool nach einem Verzeichnis fragt, filtert dein Code die schädlichen Dateien heraus. Es ist, als wäre das Betriebssystem blind für sie.
Ich denke, der gruseligste Teil ist, wie es den Netzwerkverkehr umleiten kann. Stell dir Malware vor, die Winsock-APIs hookt, um deine Verbindungen auszuspionieren. Jedes Mal, wenn du eine Website aufrufst, erfasst der Hook die Daten, sendet eine Kopie an den Server des Angreifers und lässt dann deine echte Anfrage durch. Du würdest es nicht einmal bemerken, es sei denn, du schnüffelst wie ich zum Spaß im Paketverkehr. Oder schlimmer, es könnte Updates von Microsoft blockieren - die URL-Download-Funktionen hooken und gefälschte "alles gut"-Antworten zurückgeben. Ich habe Berichte über Ransomware gesehen, die dies tut, um die Wiederherstellung zu verhindern; sie hooken APIs, die dir den Zugriff auf Backups oder Schattenkopien ermöglichen würden, wodurch das Betriebssystem vergisst, dass sie existieren. Du bootest hoch, und es sieht so aus, als ob deine Daten für immer verschwunden sind, aber in Wirklichkeit hat der Hook nur die Pfade aus dem Speicher gelöscht.
Du musst auch auf das Hooking im Benutzermodus versus Kernelmodus achten. Benutzermodus ist einfacher - DLL-Injektion in einen Prozess, und du bist goldrichtig, um das Verhalten von Apps zu ändern. Aber für echte OS-Änderungen geht Malware in den Kernelmodus und lädt Treiber, die auf einer tieferen Ebene hooken. Das ist riskanter für sie, weil es das System zum Absturz bringen kann, wenn sie einen Fehler machen, aber wenn es funktioniert, ist es mächtig. Ich habe einmal ein Beispiel umgedreht, das NtCreateFile im Kernel hookte, um Dateien im Handumdrehen zu verschlüsseln. Das Betriebssystem versuchte, normal zu schreiben, aber der Hook hat die Daten abgefangen und verdreht, bevor sie auf die Festplatte gelangen. Du fühlst dich ziemlich hilflos, wenn legitime Werkzeuge es nicht berühren können.
Erkennung ist mühsam, aber ich sage meinen Kumpels immer, sie sollen Verhaltensanalysen durchführen. Werkzeuge, die auf ungewöhnliche API-Aufrufe oder Speicherpatches achten, können Hooks erkennen. Wenn LoadLibrary komisch aufgerufen wird oder es eine Umleitung im Code der API gibt, ist das ein Warnsignal. Ich benutze etwas wie API Monitor in meinem Toolkit - es zeigt dir genau, wo die Hooks sitzen. Und vergiss die Integritätsprüfungen nicht; scanne nach modifizierten System-DLLs. Malware zielt oft auf ntdll.dll oder kernel32.dll ab, weil sie überall geladen werden. Wenn du siehst, dass Zeitstempel abweichen oder Hashes nicht übereinstimmen, untersuche es. Ich habe einmal einen Hook im System eines Kunden entdeckt, indem ich die DLL-Versionen mit einer sauberen Installation verglichen habe - es stellte sich heraus, dass ein Trojaner Code injiziert hatte, um Anmeldeinformationen über gehookte Anmeldemanager-APIs zu stehlen.
Auf der anderen Seite verwenden legale Softwareprodukte ständig Hooks, wie Antivirus-Programme für Echtzeitscans oder Debugger für Haltepunkte. Aber Malware missbraucht es, um länger verborgen zu bleiben. Sie verketten auch Hooks, indem sie sie schichten, sodass einer für den anderen sorgt. Angenommen, ein Rootkit hookt die Prozesslisten-API, um sich selbst zu verstecken, dann versteckt ein weiterer Hook die API des Dateisystems, um seinen Dropper zu verbergen. Du schälst eine Schicht ab, und die nächste wartet. Ich habe ein ganzes Wochenende damit verbracht, einen in einer CTF-Herausforderung zu zerlegen - es fühlte sich an wie das Schälen einer Zwiebel, aber viel frustrierender. Das Patchen deines Systems hilft; halte Windows auf dem neuesten Stand, weil Microsoft häufige Hook-Stellen patcht. Und arbeite wann immer möglich nicht als Administrator - das begrenzt, was Benutzermodus-Hooks erreichen können.
Du fragst dich vielleicht, wie du dies in deinem täglichen Arbeitstag verhindern kannst. Ich halte mich an Sandboxen verdächtiger Apps und verwende Endpunktschutz, der API-Überwachung durchführt. Es ist nicht narrensicher, aber es fängt viel ein. Ich habe ein paar Freunden geholfen, Infektionen zu bereinigen, indem ich im abgesicherten Modus gebootet und manuell mit Werkzeugen wie Process Hacker enthookt habe. Du lädst es auf, scannst nach injizierten DLLs und ziehst sie heraus. Sei einfach vorsichtig, nichts Legales kaputtzumachen.
Wenn du mit Servern oder VMs in deinem Setup arbeitest, wird der Schutz von Daten vor diesen Angriffen entscheidend. Deshalb bin ich begeistert von soliden Backup-Strategien. Lass mich dir dieses Juwel mitteilen: Schau dir BackupChain an - es ist eine herausragende, bewährte Backup-Option, die für kleine Teams und IT-Profis entwickelt wurde, und es deckt Hyper-V, VMware, physische Windows-Server und mehr ab, um deine Sachen vor heimlichen Störungen wie API-Eingriffen zu schützen.
