2019-2020-2 20175317钟睿文《网络对抗技术》Exp4 恶意代码分析

2019-2020-2 20175317钟睿文《网络对抗技术》Exp4 恶意代码分析

1.1 实践目标

(1)任务一：监控你自己系统的运行状态，看有没有可疑的程序在运行

(2)任务二：分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件

(3)任务三：假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质

1.2 实践内容

• 系统运行监控

  • 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

  • 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

• 恶意软件分析
  分析该软件在

  • (1)启动回连
  • (2)安装到目标机
  • (3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）

该后门软件

• （1）读取、添加、删除了哪些注册表项
• （2）读取、添加、删除了哪些文件
• （3）连接了哪些外部IP，传输了什么数据（抓包分析）

2.1 系统运行监控

使用schtasks设置计划任务

使用schtasks指令监控系统设置计划任务，每隔一分钟查看自己的电脑有哪些程序在联网，连接的外部IP是哪里，运行一段时间后分析该文件。

在C盘中创建一个netstat5317.bat脚本，写入以下内容

date /t >> c:\netstat5317.txt
time /t >> c:\netstat5317.txt
netstat -bn >> c:\netstat5317.txt

cmd中使用

schtasks /create /TN netstat5317 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

创建计划任务netstat5317，命令中TN是TaskName的缩写，sc表示计时方式，MINUTE表示以分钟计时，TR即Task Run，netstat是我们要运行的指令，b用来输出可执行文件名，n使其以数字来显示IP和端口，最后输出重定向，将输出存放在c:\netstatlog.txt文件中。

在任务计划程序中操作并编辑该任务，将其程序或脚本选中netstat5317.bat，确定后该任务就一直处于就绪状态，将其运行后，该任务每一分钟运行一次

该任务的运行结果都存储在netstat5317.txt文件中：

执行一段时间后将txt中的数据导出通过excel表进行整理：

统计图如下：

可以在其中查看自己的电脑中有没有可疑的程序在运行，从这个图中可以看到微信、谷歌浏览器、火狐浏览器、vm虚拟机、UU加速器和steam等，使用网络最多的是IntelTechnologyAccessService，属于英特尔管理引擎系列软件的组件之一。这个组件主要负责向浏览器提供系统的相关信息，我又看了一眼该组件的内存占用也相当大，于是我就毫不留情的在服务中将这个服务改为了手动启用……毕竟要发挥最佳性能支持学习！（￣︶￣）↗　
有一定可疑性的进程：svchost.exe：数目众多，但是通过tasklist发现都有对应进程而不是暂缺状态，认为暂时安全。

使用sysmon工具监控系统

sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。

通过收集使用Windows事件集合或SIEM代理生成的事件，然后分析它们，可以识别恶意或异常活动，并了解入侵者和恶意软件在您的网络上如何操作。

下载并解压SysinternalsSuite.zip，在SysinternalsSuite目录中创建配置文件sysmon20175317.xml，该配置文件中可以加入事件过滤器,具体的过滤事件选项如下：

• 进程创建ProcessCreate：

UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine

• 进程创建时间FileCreatTime：

UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime

• 网络连接NetworkConnect

UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName

• 远程线程创建CreateRemoteThread

UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction

根据这些过滤事件自主选择编写配置文件sysmon20175317.xml：

其中将谷歌与火狐浏览器设为白名单，同时去掉回环地址127.0.0.1，去掉137号端口，137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，查看http的80端口与https的443端口。

远程线程创建记录Windows程序管理器或者文件资源管理器explorer.exe；从动态链接库 (DLL) 中运行的服务的通用主机进程svchost.exe；Windows用于管理用户登录和退出的winlogon.exe；为系统管理员设计的Windows命令行外壳程序powershell.exe

编写完成后cmd中使用管理员身份运行Sysmon64.exe -i sysmon20175317.xml进行安装

在事件查看器中进入应用程序和服务日志/Microsoft/Windows/Sysmon/Operational便可看到按我们编写的文档进行记录的事件

可以看到配置文件记录的第一个日志是打开C:\sysmon20175317.xml配置文件

运行之前实验三的后门程序：

在事件查看器中可以找到该后门程序的运行记录：

可能是实验三中进行了加壳处理的缘故，许多信息都是？当我们运行不加壳的程序时就能看到源IP和端口、目的IP和端口等具体信息了

紧随其后出现了以下的事件：

SearchProtocolHost.exe、SearchIndexer.exe和SearchFilterHost.exe是Windows Vista、Windows 7/10的桌面搜索引擎的索引程序，它会在计算机空闲时自动扫描索引位置的文件名、属性信息和给定类别的文件内容，这些索引位置默认包括桌面、收藏夹、开始菜单、系统目录，以及在Windows中添加到Libraries中的目录（Windows Vista下的用户文件夹，如文档、图片、音乐、视频文件夹），SearchFilterHost.exe也可能是恶意软件所伪装，尤其是当它们存在于c:\windows或c:\windows\system32目录。虽然平时这两个程序也会出现，但是不能排除是后门程序执行产生的事件。

2.2 恶意软件分析

静态分析-使用VirusTotal分析恶意软件

VirusTotal在实验三中我们使用过，将后门程序上传到VirusTotal，可以从中获取详细信息，包括大小、 MD5、SHA-1、SHA-256数值以及加密壳类型等：

静态分析-使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名，扫描模式有：

• 正常扫描模式：可在PE文档的入口点扫描所有记录的签名
• 深度扫描模式：可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入
• 核心扫描模式：可完整地扫描整个PE文档，PEiD内置有差错控制的技术，所以一般能确保扫描结果的准确性

将实验三中加壳后的文件使用PEiD进行扫描，首先扫描未加壳的程序

再扫描加过压缩壳与加密壳的程序

这里只检测出了压缩壳，加密壳却未检测出，可见它也没有百度百科的解释的那么完美 (￣▽￣)

静态分析-使用PE Explorer分析恶意软件

PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。

打开软件，使用其引入功能查看文件引用的动态链接库：

经过查询KERNEL32.dll控制着系统的内存管理、数据的输入输出操作和中断处理，msvcrt.dll是微软编译软件的函数库
通过分析生成的后门程序都会使用KERNEL32.dll，所以如果有陌生软件使用KERNEL32.dll则应当提高警惕。

动态分析-使用wireshark对后门软件进行分析

老师指出该实验重点在“分析”，不是“如何使用某软件”，于是我尝试使用wireshark查看后门软件在连入主机时连接了哪些外部IP，传输了什么数据

使用实验三中的后门软件进行入侵，捕获数据包如下：

通过分析可以看出后门程序使用的通信方式为TCP传输。在被植入后门的Windows主机入侵时，主机与虚拟机首先进行了完整的三次握手，并且可以明显看出是从5317端口传输的数据

下图是我单独捕获的一个完整的用kali请求主机执行ipconfig的数据包

可以看到kali向主机发送了一个请求包，主机收到请求并返回了3个应答包，第二个应答包中包含了主机具体的ipconfig数据，kali收到主机发来的数据包后再向主机发送一个ACK应答包，证明已成功收到数据。

动态分析-使用Systracer进行分析

SysTracer是一款集成HIPS以及进程行为跟踪功能的安全辅助工具，它可以跟踪并监视进程对整个系统的修改行为，包括文件操作，注册表操作，内存操作和危险行为。SysTracer可以监视全部进程，或者用户指定的某一个进程及其子进程，并提供监视日志以帮助用户对特定进程的行为进行分析。
下载安装Systracer，之后存储如下快照：

• 快照一：未移植后门程序，保存为Snapshot #1
• 快照二：移植后门程序，保存为Snapshot #2
• 快照三：运行后门程序并在kali中实现回连，保存为Snapshot #3
• 快照四：在kali中使用dir指令，保存为Snapshot #4
• 快照五：在kali中使用record_mic指令，保存为Snapshot #5

执行完毕后选择右下角的比对，对各快照进行对比，选择进擦好看不同的选项查看各个快照的不同之处
对比快照一与快照二，可以看得出增加了后门文件20175317exp4.exe

对比快照二与快照三，可以看到后门启动后快照三中后门程序20175317exp4.exe加入了正在运行的程序

同时还多了许多的文件，均是启动后门程序后增加的dll文件

还可以看到运行后20175317exp4.exe文件发生了变化

对比快照三与快照四，可以看到对key_local_machine根键中的内容进行了修改，KEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息，执行dir会改变该注册表的信息

对比快照三与快照五，可以看到kali执行record_mic录音指令后，后门程序增加了audioses.dll，这是与声卡驱动有关的动态链接库，可见该后门程序启动了主机声卡

实验中遇到的问题

问题一：任务一中任务开始执行后找不到netstat5317.txt

问题一解决方案：经过查看任务属性，我把该任务的权限修改为“使用最高权限运行”，确认后该任务就可以在c盘目录下写文件了

实验收获与感想

本次实验在操作上没有什么难度，主要是理解体验对程序的分析过程，掌握利用软件分析恶意代码的能力。通过实验我学会了检测系统进程的方法、查看其调用动态链接库的方法以及查看代码结构的方法等。这次试验相对来说有意思的多，平时我的电脑在游戏以及学习中也会下载许多软件和插件，正好利用此机会查看这些软件与插件是否存在捆绑与后门。本次实验还使我对恶意代码的一些特征有了更深的认识，在之后的使用中我也可以区分出什么样的软件是可以软件，值得对其进行观察。总体来说这次试验对我的帮助还是很大的，使我增加了一份新技能 <(￣︶￣)↗

问题回答

• (1)如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

  • 使用本实验初的方法，使用schtasks指令设置一个计划任务，观察一天左右的联网情况，对其进行分析查看是否有可疑的联网程序
  • 使用Sysmon，编写配置文件，在事件查看器中的日志查看有无异常事件
  • 使用Process Explorer，查看系统中是否存在可疑进程
  • 使用Process Monitor，监视文件系统、注册表、进程/线程的活动
  • 使用Systracer拍摄几个时间点的快照，对比不同时间的快照，查看是否有可疑的增删注册表、启动项，的行为。
  • 使用wireshark查看自己计算机的端口开放情况，查看是否有多余端口进行可疑的数据传输

• (2)如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

  • 最简单的方法，使用VirusTotal分析恶意软件，上传后查看detail
  • 使用PEiD查看程序是否加壳，加的什么壳
  • 使用PE Explorer查看其引用的动态链接库
  • 使用wireshark查看他在运行时传输信息的方式以及内容、端口以及目的地址是哪里
  • 使用Systracer工具拍摄快照，查看其对注册表和文件的修改

参考资料

schtask与sysmon应用指导
使用轻量级工具Sysmon监视你的系统
Sysinternals Suite
virustotal
20155312 张竞予 Exp4 恶意代码分析