2019-2020-2 20175226王鹏雲《网络对抗技术》Exp4 恶意代码分析
实验内容
- 1.系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
- 2.恶意软件分析
- (1)启动回连,(2)安装到目标机(3)及其他任意操作时。该后门软件
- (3)读取、添加、删除了哪些注册表项
- (4)读取、添加、删除了哪些文件
- (5)连接了哪些外部IP,传输了什么数据(抓包分析)
实验过程
实验准备即相关知识
恶意代码的概念与分类
- 是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
- 指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
- 常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
- 恶意代码都有以下共同特征:
- 恶意的目的
- 本身是计算机程序
- 通过执行发生作用
详情参见
恶意代码的分析方法
- 静态分析
-使用反病毒软件来确认程序样本的恶意性(VirusTotal或者virscan,可调用多个反病毒引擎来进行扫描)- 哈希值:恶意代码的指纹(md5deep程序:计算出程序的哈希值)
- 通过检索恶意代码字符串获得相应的功能调用解释等,查看是否有被加壳处理(字符串检索:Strings 外壳检测:PEiD)
- 可移植执行(PE)文件以一个文件头开始,包含代码信息、应用程序类型、所需的库函数与空间要求。(使用PEview来分析PE文件。使用Resource Hacker工具来浏览.rsrc节(资源)。PEBrowse Professional和PE Explorer 也是分析PE文件的两大工具)
- 动态分析(运行程序)
- 沙箱:提供容易理解的输出结果,用来做初诊断非常有用(Norman沙箱、GFI沙箱等)
- DLL类型文件执行(PEview、PE Exporer)
- 用一些系统监视类软件捕获运行中恶意程序的系统调用(process monitor、process explorer)
指令说明
Sysmon相关
详情参见
任务一、系统运行监控
一、使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。
-
使用schtacks指令监控系统
- 命令创建计划任务netstat5226
schtasks /create /TN netstat5226 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstat5226.txt"
- 命令解释:
- TN netstat5226:说明计划任务名
- sc MINUTE:表示已分钟为单位的计时方式
- TR "cmd /c netstat -bn:cmd运行指令"netstat -bn",b会显示可执行文件名
- 在C:盘下创建内容如下的批处理文件(可以先创建.txt文件然后修改后缀名为.bat)
date /t >> c:
etstat5226.txt
time /t >> c:
etstat5226.txt
netstat -bn >> c:
etstat5226.txt
-
修改计划任务
-
在开始处右击打开
计算机管理->任务计划程序,找到上述创建的任务
-
打开任务,
操作->编辑->程序脚本,替换为上述创建的批处理文件netstat5226.bat,添加参数为空,具体如图:
-
注意勾选
使用最高权限运行否则在运行过程中可能出现由于权限问题产生的错误
-
-
等到自己觉得时间差不多了,就可以利用Excel来进行分析
-
在Excel中打开
数据->自文本->分隔符号,下一步中标记所有分隔符号。
-
导入数据后选择我们需要分析的一行,
插入->数据透视图->新表格。将图中标记及周日拖动到轴和值中,如图:
-
然后就可以得到如图所示的统计图了
-
-
在统计这段时间内我有玩之前实验的程序
20175226_backdoor.exe、wpyshellupxed.exe相关程序就有相关比例,同时也有虚拟机vmware.exe、vmware-authd.exe,360软件的360safe.exe、360Tray.exe相关程序联网使用。然后就是这段时间的某些软件chrome.exe、cloudmusic.exe、WeChat.exe的基础使用。最后是这段时间来自WPS的迫害,我也没有啥印象为啥wps.exe的占比会这么大。。。大概是各种弹窗没有关,平常也没有注意吧。 -
还有一些win10自带的程序
SearchUI.exe等,从这方面来看平常留心一下各种软件后台联网情况也能发现一推导致电脑出现问题的端倪,至少可以找到好多弹窗广告软件。
二、安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
- 首先根据实验提供的链接,编写配置文件
5226sysmoncfig.xml,可以像之前的批处理文件一样建好后更改后缀名为.xml,代码如下:
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- 代码解释
exclude相当于白名单,不用记录。include相当于黑名单Image condition根据自己使用的浏览器更改,我的就是谷歌浏览器chrome.exe- 137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。127.0.0.1表示本机IP。一般不会有啥问题所以网络连接过滤掉了浏览器的网络连接、源IP为127.0.0.1的网络连接和目的端口为137的连接服务
- 远程线程创建记录了目标为
explorer.exe、svchost.exe、winlogon.exe和powershell.exe的远程线程。
-
启动sysmon:下载链接
-
此时需要进入管理员命令提示符,然后进入你下载的软件目录下
-
通过命令
.Sysmon.exe -i C:5226sysmoncfig.xml
-
安装完成
-
-
进入事件查看器里查看日志
-
进入
事件查看日志通过应用程序和服务日志/Microsoft/Windows/Sysmon/Operational找到日志具体位置
-
利用Sysmon就可以具体分析你主机最近的程序使用,如图就是分析了网易云音乐,可以看到显示得有具体时间、运行的程序、使用的协议、源IP、目的IP等等
-
然后我利用这个测试了一下之前实验二创建的后门程序
-
紧接着在后面就发现了360出来阻止的程序
-
同时kail上dir也能看见
SearchFilterHost.exe(桌面搜索引擎的索引程序)被调用
-
任务二、恶意软件分析
之后大部分操作都在win7和kail虚拟机中进行
一、静态分析工具
1.使用VirusTotal分析恶意软件
- 同实验三将其中一个加壳的后门程序放入virusTotal中分析
- 可以看出它的SHA-1、MD5摘要值、文件类型、文件大小,TRiD文件类型、加壳情况、算法库支持
2.使用PEID进行外壳检测:下载地址
-
安装后将实验三的程序拖进去,可以看到其加壳的版本等
-
点击
>>可以查看详细信息
2.使用PE explorer进行外壳检测:下载地址
-
下载安装完成后,打开实验二创建的后门程序,可以看到其头部信息
-
查看静态数据目录、节头信息
-
通过工具可以进行反汇编
-
点击上方菜单的红箭头可以查看dll库
- ws2_32.dll:若系统文件ws2_32.dll出错,极有可能是盗号木马、流氓软件等恶意程序所导致,其感染相关文件并加载起来,一旦杀毒软件删除被感染的文件,就会导致相关组件缺失,游戏等常用软件运行不起来
- WSOCK32.dll:Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序。是一个对系统很关键或很可疑的文件,易遭受木马病毒(如“犇牛”病毒)破坏导致系统找不到此文件,出现错误提示框。
一、动态分析工具
1.抓包工具运用(wireshark)
-
相关设置好后,反弹链接时进行捕包,其中找到了win7与kail之间三次握手的建立
-
相关包中也有双方的IP地址与开放端口情况
-
同时连接后可以看到捕获到大量的TCP传输
-
输入其他命令如dir,Kali会不断给Windows传一大堆ACK包,有时还伴有PSH+ACK包。说明两者之间产生了数据传输
2.快照比对(SysTracer):下载链接
-
安装时进入选择第二个,下一步后设置端口为后门的反弹端口
5226
-
打开后门前先点击
take snapshot(创建快照),接着Start- 后门连接前快照
Snapshot #1 - 开启后门程序回连创建第二个快照
Snapshot #2 - 然后kali中输入
ls命令创建第三个快照Snapshot #3 - 输入
screenshot命令创建第四个快照Snapshot #4 - 结束链接创建第五个快照
Snapshot #5
- 后门连接前快照
-
按住
CTRl任选两个截取的快照,点击compare就可以进行比较两者之间的区别
蓝色就是发生变化的选项
- 某些比较例子:
-
比较#1和#2可以看到增加5226端口及一些dll端口
-
比较#2和#3也有大量增加的操作
-
比较#3和#4可以看到关闭了一些东西但是也出现了一个新的调用
SysTracer.exe有了改变
-
最后#4和#5因为关闭了链接,所以对应端口和大量的dll文件都被删除,关闭或改变
-
3.Process Explorer工具使用:下载链接
- 安装后也要进行回连,在软件中可以看到对后门程序是记录,双击可以看到对应属性
在其中也能找到前面静态分析时找到的dll文件:wsock32.dll和ws2_32.dll。
实验结果
基础问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 可以利用实验中的两种方法,windows计划任务或sysmon工具查看日志
- 监控是否有不知名进程创建
- 监控注册表项目
- 是否有程序多次链接不知名ip
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 直接利用静态分析工具如:PEID、ExeinfoPE等工具看看有没壳在保护
- 利用wireshack等工具查看此程序有没有可以了的连接
- 然后快摄拍照,对比进程运行前后有没有可疑端口、注册表或可疑的大量变化
实验总结与反思
- 这次实验还是看到了很多的分析工具,从各种方面都在剖析之前的程序,也在学习很多的分析方法。在这几次实验中我们都在扮演着一次攻击的各种角色,进攻、防御再到这次的分析杀毒的角色也慢慢更深入的了解到一个后门程序在干嘛会对电脑的哪些方面做出修改,对所学的东西也有了更实际的体验。
- 当然我们学习到的、做的还都是最基础的东西,所以想要有更好的防御还是要有更深入的学习、多动手在保护自己电脑的同时也能加强自己能力,拒绝非法程序,增强安全意识。