20201226马瑞婕Exp4-恶意代码分析
一、实践目标
1.1系统运行监控
使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
1.2恶意软件分析
分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些注册表项,读取、添加、删除了哪些文件,连接了哪些外部IP,传输了什么数据。
二、实践内容
2.1 系统运行监控——任务计划
先来学习一下schtasks的命令,贴上参考链接schtasks的命令:
https://learn.microsoft.com/zh-cn/windows-server/administration/windows-commands/schtasks
2.1.1 写好脚本(命令行语句)netcontrol1226.bat,再新建一个txt文档netstatloq.txt用于接收数据
date /t >> C:\Users\98165\Desktop\netstatlog.txt
time /t >> C:\Users\98165\Desktop\netstatlog.txt
netstat -bn >> C:\Users\98165\Desktop\netstatlog.txt
2.1.2 用命令行创建一个任务计划
在cmd中输入以下指令
schtasks /create /TN netcontrol4311 /sc MINUTE /MO 1 /TR “cmd /c netstat -bn > C:\Users\98165\Desktop\netstatlog1226.txt”
TN是创建的计划任务名是netcontrol1226,sc表示计时方式,TR表示执行的指令,>表示输出重定向
2.1.3 打开任务计划程序
“WIN+R”调出“运行”窗口,输入“taskschd.msc”按回车
2.1.4 在常规中选择使用最高权限运行,在条件中关闭电源限制
电源限制可以选择性使用,此处只是为了收集更多的信息,故关闭了电源限制
2.1.5 在操作栏清空参数,选择批处理文件
2.1.6 等待一段时间即可得到数据
2.1.7 在EXCEL中分析所得数据
新建excel,数据→自文本→选择数据源→netcontrol1226.txt,勾选分隔符号
选择插入——>选择数据透视图——>直接默认值确认——>右侧选择分析的日期,拖入下方的轴和值
同样的方法,可以得到连接的外部ip地址的统计图
2.1.8 分析结果
https://www.ipip.net/ip.html
出现最多的是TCP,established,established意思是TCP连接成功,再下来就是[wpscloudsvr.exe],是 wpscloudsvr.exe是WPS的云服务,发起了26次TCP连接,下面列举出来连接最多的一些外部网站,端口基本上都是通过443端口(https)
2.2 系统运行监控——sysmon
2.2.1 编写配置文件
创建一个txt文档写入如下内容,再将后缀名改为.xml,放到sysmon文件夹
sysmom下载网址:
https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysmon
<Sysmon schemaversion="4.81">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">QQBrowser.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- onmatch选项只能设置为include或者exclude,exclude相当于白名单,不用记录;include相当于黑名单
- 第一行的sysmon版本号要跟使用的sysmon一致(当前版本是4.81)
- Image condition根据自己使用的浏览器更改,如谷歌浏览器是“chrome.exe”,IE浏览器是“iexplore.exe”,火狐浏览器是“firefox.exe”,QQ浏览器是“QQBrowser.exe”,写在exclude中就是不记录由谷歌浏览器创建的进程
- 进程创建时间类似,也是不创建浏览器创建进程的时间
- 网络连接过滤掉了浏览器的网络连接、源IP为127.0.0.1(localhost)的网络连接和目的端口为137的连接服务,且查看目的端口为80(http)和443(https)的网络连接。
- 137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态
- 127.0.0.1表示回环地址
- 远程线程创建记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程
- explorer.exe是Windows程序管理器或者文件资源管理器
svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称 - winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出
- powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用
2.2.2 安装sysmon
下载完成后以管理员权限运行cmd,进入安装目录,输入安装命令Sysmon64.exe -i,点击agree
输入.\Sysmon.exe -i peizhi4311.xml
2.2.3 打开日志
打开事件查看器(win+R运行eventvwr.msc)——>应用程序和服务日志->Microsoft->Windows->Sysmon->Operational
2.2.4 打开kali进行exploit,主机运行20201226backdoor.exe后门程序,回连到kali,kali执行shell获取主机的cmd
生成20201226backdoor.exe后门程序
exploit监听(实验二步骤)
2.2.5 再次查看日志
根据时间观察对应的事件
可以在Sysmon的日志中看到进程创建
2.3 恶意软件分析
2.3.1 用wireshark分析tcp包
2.3.1.1 在主机抓包
启动wireshark选择接口,先运行ipconfig找到kali所用接口,然后选择
输入以下进行筛选
ip.addr == 192.168.48.129
由下图,可以看到kali和主机之间一直在进行三次握手以及UDP包的传递
2.3.1.2 kali中用wireshark分析
主机ip:192.168.165.127
虚拟机ip:192.168.48.129
点击右上方的kali图标,搜索wireshark,进入wireshark
选择需要监听的网卡,双击即可开始监听
2.3.1.3 ncat传送后门程序
主机开启监听
kali传输
ncat 192.168.3.81 4311 < 20194311_backdoor.exe
抓包结果如下
437-439三行很明显是经典的三次握手连接
打开msfconsole,并设置打开kali监听,并在Windows中启动后门程序,抓包
可以看到这里其实是kali(192.168.48.129)与192.168.48.1之间的数据传输,因为这里我采用的是NAT网络模式,所以对虚拟机来说,在不指定IP的情况下,和主机的数据交换其实就是和192.168.48.1的交换
2.3.2 通过2.1中的任务计划分析
如下图所示,在20194311_backdoor.exe启动后,通过上文中的程序找到了192.168.48.1(本机)向192.168.48.129(Kali虚拟机)的TCP包,由此可见在程序启动后会隔一段时间就会发送TCP包。
2.3.3 通过SysTracer分析
下载链接:
https://gitee.com/wildlinux/NetSec/attach_files
安装时一直点击下一步即可
systracer可以记录下计算机某个时刻的状态。然后过一段时间后再次记录。通过比较两次记录中计算机的不同进行相应的分析
等待右上角检测完毕生成当前快照Snap shot #1
然后在kali上打开监听,并在Windows上运行后门程序后再次快照,生成Snap shot #2
在kali上对主机进行一些列操作webcam_snap,再次快照,得到Snap shot #3
对比快照1和快照2
在右下角选择要对比的两个快照,再点击compare
为了更清晰地知道我们的计算机被执行了什么操作,所以选中only differences
通过查看Running Processes、Opened Handles、Opened Ports,可以更直观地看到后门程序的执行,以及它添加了哪些句柄和连接的是哪个端口。
这里可以看到后门程序是通过58708端口对192.168.48.129:1226进行连接,这里可以看出后门采用的是反弹端口连接方式。
对比快照Snapshot #2和快照Snapshot #3
此时获得主机摄像头权限并进行拍照
三、实验后回答问题
3.1 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
首先要监控的是网络,可以就用schtasks设置任务,然后筛选出可疑的网络行为。但凡攻击者想进行远程操作,建立了连接,就一定会被记录到
然后检测进程,比如攻击者要抓肉鸡DDOS或者挖矿,肯定会导致占用的CPU不正常(虽然我感觉应该很少抓PC)
还有要检测文件的创建和删除。如果攻击者是通过小马传大马的方式进行进一步的攻击,检测文件的创建和删除可以防止进一步的攻击,这个可以用schtasks,也可以用systracer。
最后是监控对驱动和硬件的调用,将损失尽量减少。
3.2 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息?
Process Monitor可以看的很清楚这个进程的实施者、端口等等,如果能定位到具体的exe,可以进一步丢到vt上,或者用ida反编译之类的深入研究。
四、实验感想
- 问题一:在最开始设置完任务计划后,txt文档中却只会出现“请求的操作需要提升”字样,发现是脚本文件中文件的存储地址有问题,修改无误后就获得了相应的数据。
- 问题二:在进行ncat传输后门文件时,一直传不过去,一开始以为是网络问题,重启连接网络后无果,依旧找不到解决的方法(其实实验二的时候就发现这个传输代码有点问题了。。)
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步