2019-2020-2 网络对抗技术 20175311胡济栋 Exp4 恶意代码分析
2019-2020-2 网络对抗技术 20175311胡济栋 Exp4 恶意代码分析
目录
- 一、实验介绍
- 二、实验步骤
-
- 1.使用schtasks指令监控系统
-
- 2.使用sysmon工具监控系统
-
- 3.使用VirusTotal分析恶意软件
-
- 4.使用PEID分析恶意软件
-
- 5.使用PE Explorer分析恶意软件
-
- 6.使用Process Monitor分析恶意软件
-
- 7.使用Process Explorer分析恶意软件
-
- 8.使用systracer分析恶意软件
-
- 9.使用wireshark抓包分析恶意软件
- 三、实验要求
- 四、实验感想
一、实验介绍
1.实验目标
- 监控自己系统的运行状态,看有没有可疑的程序在运行。
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2.实验内容(3.5分)
2.1 系统运行监控(2分)
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。找出所有连网的程序,连了哪里,干了什么,并进行进一步分析从而有针对性地抓包。
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
2.2 恶意软件分析(1.5分)
- 分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
-
- 读取、添加、删除了哪些注册表项
-
- 读取、添加、删除了哪些文件
-
- 连接了哪些外部IP,传输了什么数据
二、实验步骤
1.使用schtasks指令监控系统
-
使用
schtasks /create /TN netstat5311 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
命令来创建任务netstat5311
-
TN
是TaskName的缩写,我们创建的计划任务名是netstat5318
;
-
sc
表示计时方式,我们以分钟计时填MINUTE;
-
TR
表示Task Run,要运行的指令是 netstat
-
bn
表示显示可执行文件名,n
表示以数字来显示IP和端口;
-
>
表示输出重定向,将输出存放在c:\netstatlog.txt
文件中
-
新建一个脚本文件
netstat5311.bat
然后拖至c盘目录下,写入以下内容
date /t >> c:\netstat5311.txt
time /t >> c:\netstat5311.txt
netstat -bn >> c:\netstat5311.txt
- 打开任务计划程序,找到刚刚新建的任务
- 双击该任务,调整其中设置,将“程序或脚本”改为我们创建的
netstat5311.bat
批处理文件,确定即可
- 电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”,那么使用电池电源时就会停止任务。为了统计更多的数据,我们将这个勾选去掉。
- 选择最高权限运行,点击确定保存。
- 然后就是进行等待收集数据~
- 等待了半天之后,我们将数据导入Excel表格中。导入文本数据:新建excel文件->选择上方“数据”->选择“获取外部数据”->选择“自文本”
- 进入文件导入向导第一步,选中“分隔符号”,点击“下一步”
- 进入文件导入向导第二步,选中全部分隔符号,点击“下一步”
- 进入文件导入向导第三步,列数据格式选择常规,点击“完成”。最终得到数据如下:
- 将导出的数据建立一张新的图表,把其中没有意义的字段删去,把数值都进行导入。
- 最后得到最终导出的图表,如下:
- 通过上述图表,可以看到我联网最多的程序是谷歌的网页浏览器“chrome.exe”,排名第二的是
驱动精灵的服务进程“dgservice.exe”,排名第三的是腾讯课堂的“TXEDU.exe”,排名第四的是win10的系统进程“searchUI.exe”。除此之外,我们还可以看到一些其他的系统进程以及微信、QQ、虚拟机等联网程序。 - 并没有发现存在可疑的恶意程序,那我们就分析一下chrome.exe进行的网络连接。通过查看表格,我们发现谷歌的浏览器访问了119.3.240.79:80,这应该是我做实验时查找资料时访问的网页。
2.使用sysmon工具监控系统
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
- 下载老师上传至码云的SysinternalsSuite.zip,解压。sysmon就在解压好的文件夹中。
- 配置文件的写法可以参考博客使用轻量级工具Sysmon监视你的系统
- 在sysmon所在目录下创建sysmon5311.txt,并且在里面输入配置要求
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- 针对常用的chrome和wps我把他们放在iniclude里。在上面的代码中,第一行的sysmon版本号要跟使用的sysmon对应。ProcessCreate表示进程创建,NetworlConnect是网络连接,CreateRemote是远程线程创建,FileCreate Time是进程创建时间。在onmatch后面跟的参数include和exclude分别表示“免检”和“必检”名单。
- 远程线程创建记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程。explorer.exe是Windows程序管理器或者文件资源管理器;svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称;winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出;powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。
- 获得管理员权限进入命令行,运行
sysmon.exe -i sysmon5311.txt
,特别注意这里需要管理员权限(可以在运行cmd时右键获得管理员权限)
- 运行成功
- 搜索打开计算机管理,选择事件查看器/服务日志/Microsoft/Windows/Sysmon/Operational
- 可以看到记录的详细信息
- 在kali中生成后门软件放入系统
- 打开事件查看器,刷新后根据运行时间我们找到刚刚运行的后门的相关消息
- 回到kali,使用
webcam_snap
进行拍照,可以看到事件查看器中多了几条记录。由于kali中出现了报错,所以我们在事件查看器中就看到了Werfault.exe进程,该进程是windows系统自带的用于错误报告的程序。我们还看到了svchost.exe进程,也是windows系统自带的后台程序。
- 我在kali中输入dir查看当前目录文件,在事件查看器中立刻多了几个消息。有一个SearchProtocolHost.exe进程,经过百度查看,发现它是一个桌面搜索引擎索引进程,这也刚刚好能够解释输入dir之后跳出来的桌面文件信息。还有一个conhost.exe进程,全称是Console Host Process, 即命令行程序的宿主进程。简单的说他是微软出于安全考虑引进的新的控制台应用程序处理机制。
3.使用VirusTotal分析恶意软件
- 这里使用实验三生成的加压缩壳后门程序hjd20175311.upxed.exe,在VirusTotal进行扫描,结果如下,可以看到文件的被检查出率相当高。可以看出它的SHA-1、MD5摘要值、文件类型、文件大小,以及TRiD文件类型识别结果。
- 还有一些恶意代码的算法库支持情况
4.使用PEiD分析恶意软件
- 在百度搜索下载PEiD v0.95,解压安装启动,并且对特定进程文件进行扫描
- 不加壳
- 压缩壳
- 加密壳
- 加密加上压缩壳
- 通过四次实验结果,我们可以看到凡是带有加密的壳软件便无法识别。
5.使用PE Explorer分析恶意软件
- PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器,可以查看程序头部信息(默认界面)、程序静态数据目录、程序结头信息、对程序反汇编等等,非常好用。
- 我们导入相关文件,查看其头字段信息,可以看到都是由汇编代码构成的。我们可以看到处理器为i386,这是Intel 80386,被广泛应用在1980年代中期到1990年代中期的IBM PC兼容机中。都是一些文件的基本信息。
- KERNEL32.dll:控制着系统的内存管理、数据的输入输出操作和中断处理。
- msvcrt.dll:是微软编译软件的函数库。
- USER32.dll:Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息。它是一个对系统很关键或很可疑的文件,易遭受木马病毒破坏导致系统找不到此文件,出现错误提示框。
- WSOCK32.dll:Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序。是一个对系统很关键或很可疑的文件,易遭受木马病毒破坏导致系统找不到此文件,出现错误提示框。
- 可以看到这些后门程序都引用了KERNEL32.dll这个文件
6.使用Process Monitor分析恶意软件
- Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具,可实时显示文件系统、注册表、进程/线程的活动。
- 打开软件,可以看到各个进程的详细记录,这个软件是实时更新着超级多的数据,进行搜索查找操作后下图是我的后门进程:
- 下面是该进程的详细信息:
7.使用Process Explorer分析恶意软件
- Process Explorer是由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。
- 靶机运行后门程序进行回连时,我们可以在 Process Explorer工具中查看到其记录
8.使用Systracer分析恶意软件
- 首先在老师提供的资料中下载Systracer,完成后进行安装,步骤为:agree->选第二个
*设置监听端口号
- 在打开后门前先快照一下,点击“take snapshot”,如图,按照以下步骤进行。完成后显示Snapshop #1
- 植入恶意软件之后进行一次记录,完成后显示Snapshop #2;恶意软件回连之后进行记录,完成后显示Snapshop #3;在kali终端进行相应操作之后进行记录,这里选的是webcam_snap和ls,完成后显示Snapshop #4
- 将snapshop #1和#2进行比较,所有蓝色标注的地方就是前后发生变化修改的地方。比如,我们看到了前后我加入的后门程序文件。还有很多文件的增加和删除。
- 将snapshop #2和#3进行比较,可以看到运行的进程多了后门程序,被植入了一些健值,还可以看到增加删除的文件具体信息
- 将snapshop #3和#4进行比较,我这边进行了ls命令,和拍照命令,所以在主机上应该能够看到相关的摄像头等设备的启动变化。但是不知道为什么这边显示没有注册
8.使用wireshark进行抓包分析
- 打开wireshark,选择wlan模式。开始抓包后,本机启动恶意程序回连kali虚拟机,回连成功后停止捕包,输入筛选条件
ip.addr == 192.168.1.102
进行查看
- 通过抓包的信息可以看到开始建立了TCP三次握手连接,这应该是反弹连接时产生的数据包
- 再使用
pwd``ls``webcam_snap
等命令,分析产生的数据包。使用webcam_snap
时产生了多条记录,应该是拍照时所需要的操作与占用的内存比较大导致。
三、实验要求
实验后的问题
问题一:如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 通过这次实验,我们可以利用这次实验使用过的软件进行查看。
-
- 使用Windows计划任务schtasks进行监听,可以查看是否有运行的可疑进程,网络连接情况,端口连接情况,并且统计数据进行分析
-
- 可以使用Sysmon,配置好想要查看的选项,比如网络连接、注册表信息等,通过所生成的日志进行查看分析
-
- 可以使用Systracer进行定向记录当前运行进程的进行“照片”比较
-
- 使用Wireshark工具:捕获数据包,分析数据流情况,从而查看可疑IP地址与端口号
-
- 使用PEiD工具:查看一个程序是否加壳,并进行内容的分析
问题二:如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 可以使用VirusTotal进行检查;可以使用Systracer进行分析,查看其对注册表、文件的修改;可以使用wireshark进行捕包分析,查看它连接到了哪些ip、与外部进行了哪些通信。
四、实验感想
- 这是网络对抗技术的第四次实验,每次实验都艰辛无比。本次实验难度不是很大,主要是一些相关软件的应用以及对相关数据的分析,但是还是比较耗时耗力的。我觉得比较费时间的一点是,遇到一堆数据不知从何下手进行分析,对于刚刚接触到的事物还是十分陌生,加上也不太清楚恶意代码的特征,所以在鉴别分析的过程中花费了大量的实践与精力。不过这样下来以后我对系统的一些进程有了更好的了解,通过对恶意代码的分析,也使得我对恶意代码的行为、特征有了更好的了解。好好加油~