20192413 宗俊豪 2021-2022-2 《网络与系统攻防技术》实验四实验报告
1.实验内容
一、恶意代码文件类型标识、脱壳与字符串提取
二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
三、分析一个自制恶意代码样本rada,并撰写报告,回答问题
四、取证分析实践
2.实验过程
任务一:恶意代码文件类型标识、脱壳与字符串提取
(1)在kali中使用file指令查看文件类型
(2)用PEid查看加壳工具
(3)用strings指令查看字符串,由于没有脱壳所以为乱码
(4)使用脱壳工具脱壳
(5)查看字符串
任务二:使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
1.creakme1.exe
(1)将crackme1.exe导入IDA pro
(2)查看函数调用图
可以看出401280函数段负责判断输入参数
(3)查看函数汇编代码
这个文件需要判断输入参数位数是否正确以及密码是否正确
可以猜测“I know the secret”为正确输入密码
(4)进行验证
验证成功
2.crackme2.exe
(1)查看函数调用图
可以看出401280函数段负责判断输入参数
(2)查看函数汇编代码
可以看出这个文件要判断参数位数是否正确、程序名是否正确、密码是否正确
(3)进行验证
验证成功
任务三:分析一个自制恶意代码样本rada,并撰写报告,回答以下问题
(1)生成md5摘要
(2)打开process explorer监听,执行RaDa.exe
在process explorer中可以看到RaDa.exe对进程所做的修改等信息
-
作者名:
-
RaDa与10.10.10.10连接,访问了/RaDa/RaDa_commands.html,上传下载文件,修改了注册表自启动项
-
将文件 RaDa.exe 复制到了 C:\RaDa\bin 目录下
-
starting DDos smurf remote attack,该恶意程序可能对主机实行了DDos拒绝服务攻击
-
对主机的注册表进行了读写和删除操作
回答问题:
1.基本识别信息:
md5摘要:caaa6985a43225a0b3add54f44a0d4c7
PE32 executable for MS Windows (GUI) Intel 80386 32-bit
2.建立连接10.10.10.10的后门
3.自我复制到C盘下,修改注册表自启动项
4.使用了UPX加壳工具
5.不能自主传播,所以不是病毒、蠕虫,没有进行伪装,故不是木马,攻击者可以远程发送指令,所以是后门。
6.海阳顶端、Bobax – 2004等
7.Raul siles & David Perze 在process Explorer中查看strings
任务四:取证分析实践
1.IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。申请时要发送口令、昵称和用户信息:USER 、PASS 、NICK。明文传输时一般使用6667端口,ssl加密时一般使用6697端口。
2.僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。常用来实行拒绝服务攻击、发送垃圾邮件以及挖矿。
3.蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
筛选数据包,筛选条件为ip.src == 172.16.134.191 && tcp.dstport == 6667,可以看到5个IRC服务器,分别是209.126.161.29、66.33.65.58、63.241.174.144、209.196.44.172、217.199.175.10。
4.在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
命令 tcpflow -r botnet_pcap_file20192413.bat "host 209.196.44.172 and port 6667" 读取文件,筛选host和端口6667分流。得到三个文件
在report.xml文件中可以看到双方的ip地址,端口,mac地址等
输入cat 209.196.044.172.06667-172.016.134.191.01152 | grep "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x .//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l来搜索有多少主机连接。
(5)哪些IP地址被用于攻击蜜罐主机?
使用指令tcpdump -n -nn -r botnet_pcap_file20192413.dat 'dst host 172.16.134.191' | grep -v 'reply' | cut -d '.' -f 10 | cut -d ':' -f 1 | sort | uniq | more >1.txt; wc -l 1.txt查找端口并输出到1.txt中
使用指令tcpdump -n -nn -r botnet_pcap_file20192413.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 2.txt;wc -l 2.txt将连接IP地址输出到2.txt中
6.攻击者尝试攻击了那些安全漏洞?哪些成功了?如何成功的?
(1)使用snort -r botnet_pcap_file20192413.dat -c /etc/snort/snort.conf -K ascii指令查一下网络流分布情况
大部分是TCP和UDP包
(2)使用tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq查看TCP响应端口
(3)使用tcpdump -r botnet_pcap_file -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq查看TCP响应端口
(4)分析UDP137端口
在局域网中提供计算机的IP地址查询服务,处于自动开放状态,是 NetBIOS 查点
(5)分析TCP135和25端口
因为len=0没有交互,因此可能对这两个端口进行了connect扫描
(6)分析80端口
-
连接最多的就是24.197.194.106这个IP地址,通过查阅资料可知他的行为就是不停用脚本攻击IIS服务器的漏洞,从而获取系统权限.
-
210.22.204.101访问的80端口,可以看到很多的C,可能是想通过缓冲区溢出攻击来获得一个命令行。
-
218.25.147.83访问80端口,在最后有c:\notworm,通过百度可以发现这是一个红色代码蠕虫攻击
-
主机的几次回应均是http/1.1,因此攻击均失败
(7)分析139端口
都没有成功
(8)分析445端口
可以看到其中有PSEXESVC.EXE,这是一种Dv1dr32蠕虫,通过IRC进行通信,返回信息中含有\PIPE\ntsvcs,通过搜索可知,这是一个远程调用,所以攻击者肯定是获得了权限,因此这个攻击成功的。
(9)分析4899端口
这个端口是一个远程控制软件radmin服务端监听端口
3.问题及解决方案
- 问题1:主机上IDA pro安装后无法使用
- 问题1解决方案:将IDA pro安装到虚拟机windows xp上,需要使用时进入虚拟机进行文件分析
4.学习感悟、思考等
这次实验中实践了恶意代码的脱壳、字符串提取等一系列分析操作,通过对于恶意代码的分析使我对其工作原理有了更加直观的认识和更深入的理解。这次使用的软件都能够从不同的方面对恶意代码软件进行分析,比如分析函数调用图、分析汇编代码等,使整个过程相当的直观。(但是需要下载的软件太太太太太太太多了多的离谱!)