• 2018-2019-2 网络对抗技术 20165329 Exp4 恶意代码分析


    2018-2019-2 网络对抗技术 20165329 Exp4 恶意代码分析

    1.实践目标

    • 监控你自己系统的运行状态,看有没有可疑的程序在运行。
    • 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
    • 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

    2.实践内容概述

    • 系统运行监控
      • 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
      • 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
    • 分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
      • 读取、添加、删除了哪些注册表项
      • 读取、添加、删除了哪些文件
      • 连接了哪些外部IP,传输了什么数据

    3.基础问题回答

    • 问:如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    • 问:如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    基础问题回答

    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

             首先可以监控网络连接,还可以监控是否创建新的进程,然后监控注册表项目,然后监控系统日志,最后可以监控是否经常连接未知IP等这些办法。

    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

             可以使用Wireshark进行抓包分析,监视其与主机进行的通信过程。也可以使用systracer工具分析恶意软件等等。

    实验总结与体会

             通过本次实验,也通过自己的动手实践,实现了从攻击到检测、分析身份的尝试,更全面的理解了前两次实验中生成的后门程序到底在做什么,对恶意代码有了更深入的理解。

    实验遇到的问题及解决方法

            一开始打开后门程序的时候忘记关360,导致拒绝访问,后面关掉360正常使用。因为自己在excel方面不擅长,在导入excel表里面遇到了不知道如何将txt文件导入的麻烦,通过查看上届学长学姐的博客找到了导入的方法。

    实践过程记录

    1.使用schtasks指令监控系统

    • 使用schtasks /create /TN 20165329netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstatlog.txt"命令创建计划任务20165329netstat,如下图所示:

    其中,TN是TaskName的缩写,我们创建的计划任务名是20165329netstat;sc表示计时方式,我们以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口。

    • 在C盘中创建一个20165329netstat.bat脚本文件(可先创建txt文本文件,使用记事本写入后通过修改文件名来修改文件格式)
    • 在其中写入以下内容,如下图所示:

    • 打开任务计划程序,可以看到我们新创建的这个任务:

    • 双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的20165329netstat.bat批处理文件,确定即可。

    • 接下来用schtasks /create /TN 20165329netstat /sc MINUTE /MO 1 /TR "c:20165329netstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。这里和之前不同的是将记录的情况输入到了.bat后缀的文件中

    • 执行此脚本一定时间,就可以在20165329netstat.txt文件中查看到本机在该时间段内的联网记录:

    • 导入文本数据:新建excel文件->选择上方“数据”->选择“获取外部数据”->选择“自文本”

    • 选择记录连接情况的文本netstatlog.txt,点击“导入”
    • 进入文件导入向导第一步,选中“分隔符号”,点击“下一步”
    • 进入文件导入向导第二步,选中全部分隔符号,点击“下一步”
    • 进入文件导入向导第三步,列数据格式选择常规,点击“完成”。
    • 鼠标选中左上角第一个单元格,然后点击“确定”
    • 待分析数据如下:

    • 综合分析,联网最多的是浏览器对应的程序“chrome.exe”,360安全卫士的程序“360Tray.exe”等。没发现什么其他可疑的程序。
    • 如果想关闭了就去计划任务里关掉就可以了。

    2.使用sysmon工具监控系统

    • Sysmon是微软Sysinternals套件中的一个工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。

    • 确定要监控的目标
    • 写好配置文件

    • 想记录所有网络连接就可以简单写为*,不写的不记录。一般都是写成类似下面的规则,会过滤掉一些。exclude相当于白名单,不用记录。include相当于黑名单。个人觉得一般人使用白名单更安全,凡是不了解都记录。

    • 下面是我用的配置文件Sysmon20165329.xml。放到新建的Sysmon文件夹里。注意最上面的版本号要改的。

    启动sysmon

    • 安装sysmon:sysmon -accepteula –i -n

    • 在命令行下使用sysmon -c Sysmon20165329.xml命令可以对sysmon进行配置指定配置文件(安装时用-i)

    • win10下,左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等。

     

    • 打开kali,运行木马文件,使其回连kali攻击机。查看日志,通过搜索关键字可以找到相关的后门文件。
    • 打开这个事件,可以看到其属于“NetworkContect”。查看详细信息,可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等。

    3.使用systracer分析恶意软件

    分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

    (1)读取、添加、删除了哪些注册表项

    (2)读取、添加、删除了哪些文件

    (3)连接了哪些外部IP,传输了什么数据

    第一步:下载安装Systracer

    1.首先下载完成后进行安装,步骤为:agree->选第二个

    ->设置监听端口号

    ->安装完成

    2.在打开后门前先快照一下,点击“take snapshot”,如图,按照以下步骤进行:

    完成后显示Snapshop #1

    3.Kali打开msfconsole,完成相关设置后开始监听,Windows运行后门后,拍摄快照:

    完成后显示Snapshop #2

    4.进行分析:

    1.点击上方“Applications”->左侧“Running Processes”->找到后门进程“20165329_backdoor.exe”->点击“Opened Ports”查看回连地址、远程地址和端口号:

    2.在快照界面“Snapshots”右下角点击“Compare”,比对一下回连前后计算机发生的变化,所有蓝色标注的地方,就是前后发生变化的地方:

    3.此外还对注册表中hkey_local_machine进行了修改,修改内容如下:

    关于HKEY_LOCAL_MACHINE的介绍:

    • 它保存了注册表里的所有与这台计算机有关的配置信息
    • 被修改的部分是Fastcache,即高速缓冲存储器。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl这个子键包括了win95控制面板中的信息。不要编辑这些信息,因为一些小程序的改变在很多地方,一个丢失的项会使这个系统变的不稳定。

    此外,一些Systracer未授权的地方我们是没法查看的。

    4.此外我们可以通过查看后门软件的“opened handles”(打开的句柄)来对比他们都做了什么:

    回连成功时:

    5.可以看到后门的目标及源ip和端口信息

  • 相关阅读:
    TCC
    使用RocketMQ实现分布式事务
    CentOS关机
    使用grub手动引导linux和windows
    CentOS下X Window与命令行界面的切换
    Centos下 为firefox安装flash插件
    tar.xz文件如何解压
    用Linux命令wget进行整站下载
    CentOS关闭火狐浏览器Flash过期提示
    CentOS普通用户添加sudo权限
  • 原文地址:https://www.cnblogs.com/hjwzzj/p/10603991.html
Copyright © 2020-2023  润新知