2018-2019-2 网络对抗技术 20165210 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165210 Exp4 恶意代码分析
一、实验目标
- 首先是监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 其次是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 最后假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
二、实验内容
1.系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
2.恶意软件分析
-
分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
-
读取、添加、删除了哪些注册表项
-
读取、添加、删除了哪些文件
-
连接了哪些外部IP,传输了什么数据(抓包分析)
三、实验步骤
1.系统运行监控-计划任务
- 使用
schtasks /create /TN netstat5210 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5210.txt"
命令创建计划任务netstat5210
- 其中,TN是TaskName的缩写;sc表示计时方式,以分钟计时填MINUTE;TR=Task Run,运行的指令是netstat-bn,b表示显示可执行文件名,n表示以数字来显示IP和端口。
- 在C盘中创建一个netstat5210.bat脚本文件,写入以下内容
date /t >> c:\netstat5210.txt
time /t >> c:\netstat5210.txt
netstat -bn >> c:\netstat5210.txt
- 在左下角Windows处右键打开计算机管理-任务计划程序,可以看到我们新创建的任务:
- 双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的netstat5210.bat批处理文件,确定即可,要把参数清空。
- 然后点击条件,取消电池选项中的只在交流电才运行的操作,避免一会儿断电出麻烦。
- 在计算机管理界面对该任务右键点击运行,可在netstat5210.bat目录下看到一个txt文本文件,打开就可看到每隔一分钟被输到这里的联网数据的记录:
- 然后我们打把游戏等一下,让它多记录一下以便让我们分析。
- 打开excel-数据-自文本-分隔符号-全部勾选分隔符号
- 分析-数据透视表-勾除不必要选项
- 将字段拖动到下面的框中,就可以看到统计图了
- 由统计数据可知,联网最多的是qq,说明刚刚联网qq用的比较多,其次就是有道(哈哈哈写博客),还有一些其他的,我没有开虚拟机和360,所以这里没有后门程序和虚拟机什么的,这时的电脑是比较安全的,没有什么可疑的操作。
2.安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为
- 确定监控目标:
选择的是进程创建ProcessCreate、进程创建时间FileCreatTime、网络连接NetworkConnect、远程线程创建CreateRemoteThread。
- 写配置文件
写与自己想要监控的事件相对应的配置文件。编写好的20165210Sysmoncfig.txt内容如下:(配置文件是xml文件,为了简单编辑就直接命令为.txt,每次用写字本打开。)
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">MicrosoftEdgeCP.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">MicrosoftEdgeCP.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">MicrosoftEdgeCP.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
1.exclude相当于白名单,不用记录。include相当于黑名单
2.Image condition根据自己使用的浏览器更改,如谷歌浏览器是“chrome.exe”,IE浏览器是“iexplore.exe”,我用的是轻量版的IE浏览器是“MicrosoftEdgeCP.exe”(可在上面的netstat5210.txt中找到进程名称),写在exclude中就是不记录由QQ浏览器创建的进程。
进程创建时间类似,也是不创建浏览器创建进程的时间。
3.网络连接过滤掉了浏览器的网络连接、源IP为127.0.0.1的网络连接和目的端口为137的连接服务,且查看目的端口为80(http)和443(https)的网络连接。(137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。127.0.0.1表示本机IP。)
4.远程线程创建记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程。
5.explorer.exe是Windows程序管理器或者文件资源管理器
6.svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
7.winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出。
8.powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。
- 启动sysmon:
- 下载sysmon,解压。
- 安装sysmon:以管理员身份执行命令sysmon.exe -i C:\20165210Sysmoncfig.txt
- 输入命令sysmon -accepteula -i -n
- 查看“事件查看器”,选择日志的位置,应用程序和服务日志/Microsoft/Windows/Sysmon/Operational
- 分析实验三生成的后门程序20165210-jk.exe,按步骤执行到回连
- 在点击Sysmon-Operational刷新记录,找到运行后门文件20165210-jk.exe相对应的日志如下
- kali下执行shell
- 发现C:\Windows\SysWOW64\cmd.exe这样一个进程,其显示目录在后门程序目录下,很显然与后门程序相关,因为Windows下的cmd.exe是64bit的,kali回连获取的windows的cmd程序是32位的
- 执行了record_mic截获音频
- 发现了svchost.exe,再截获视频时也发现了这个,so,应该与后门有关
3.恶意软件分析
使用VirusTotal分析恶意软件
- 将实验三生成的后门放在VirusTotal下扫描
- 看一下后门详细资料,发现有MD5和SHA-1算法,还有文件的大小类型等。
- 看一下加壳情况
- 看一下可执行的算法库信息
使用PEiD进行外壳检测
- PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳。
- 下载安装选择加壳文件文件路径或直接把加壳文件拖到里面,可以看到所加壳upx版本为0.89.6
- 继续可看到其详细信息
使用PE Explorer分析恶意软件
- PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源
- 下载PE Explorer并将后门文件导入并查看程序头部信息
- 视图-导入,查看dll库分析
- KERNEL32.dll:控制着系统的内存管理、数据的输入输出操作和中断处理。
msvcrt.dll:是微软编译软件的函数库。 - USER32.dll:Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息。它是一个对系统很关键或很可疑的文件,易遭受木马病毒破坏导致系统找不到此文件,出现错误提示框。
- WSOCK32.dll:Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序。是一个对系统很关键或很可疑的文件,易遭受木马病毒破坏导致系统找不到此文件,出现错误提示框。
- 我发现后门文件里大多数都会有KERNEL32.dll。所以后门软件可以控制操作
使用SysTracer分析后门软件的运行过程
- SysTracer是一款可以分析你的计算机文件,文件夹和注册表项目改变的系统实用工具。你可以在任何想要的时间获取无数个屏幕快照,比较任何一对想要的屏幕快照,并且观察其间的不同之处。获取屏幕快照通常会持续几分钟的时间,这取决于文件和文件夹的数量和注册表项目的总数。
- 进入win7虚拟机,进入安装选择第二个,next设置端口为5210,安装完成后进入界面
- 点击take snapshot(创建快照),接着Start
- 未运行后门程序,保存为Snapshot #1
- 运行后门程序并在kali中实现回连,保存为Snapshot #2
- 在kali中使用dir指令,保存为Snapshot #3
- 在kali中使用record_mic指令,保存为Snapshot #4
- 我们选中1、2进行比较,可以看到运行后门进行回连后的变化
- 注册表的变化
- 端口变化
- 增加的dll
- 我们选中2、3进行比较,看执行dir指令后的变化
- 发现注册表又新增了两个配置信息
- 然后我们再打开opened handles对比他们做了什么
- 我们选中2、4进行比较,看执行record_mic指令后有什么变化
- 注册表中又有新的变化
- 发现增加了一些新的文件都与后门有关
- 而且发现新增加的文件dll什么的都与多媒体有关
使用wireshark对流量进行抓包分析
- 先打开wireshark捕包,然后进行回连,然后过滤ip.addr == 192.168.16.143
可以看到Wireshark上捕获到大量的TCP传输,然后进行其他的操作,发现Kali会不断给Windows传一大堆ACK包,有时还伴有PSH+ACK包。
四、实验中遇到的问题
- 安装sysmon时发现这个问题
参考了学长的博客解决了这个问题
2.一开始我一直是用win7做的,做到wireshark时在win7上安装上了之后发现用不了,没有发现网络接口,不知道什么原因,然后就在主机上装了做的。
五、实验中的体会和感受
这次实验做了一天好难受,期间虚拟机崩了,进不去kali了,有找人考的虚拟机,然后安装的东西也别较多,比较杂,还好做完了,本次实验我从一个攻击者变成了一个分析者,分析恶意代码,这些工具的分析程度也有高低,强!
六、实验后回答问题
- (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:用相应的工具来分析记录文件,查看日志,行为分析查证注册表信息等方式证明是否为恶意代码。
- (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:抓包,查看进行了那些网络活动,使用日志查看器查看程序或进程的工作日志,分析工作信息。
