2019-2020-2 20175304刘朝尹 《网络对抗技术》 Exp4 恶意代码分析

目录

• 1 基础知识
  • 1.1 恶意代码的概念与分类
  • 1.2 恶意代码的分析方法
  • 1.3 实践目标
• 2 实践内容及步骤
  • 2.1 系统运行监控
    • 2.1.1 Windows计划任务schtasks
    • 2.1.2 sysmon
  • 2.2 恶意软件分析
    • 2.2.1 静态分析
    • 2.2.2 动态分析
• 3 问题回答
  • 3.1 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
  • 3.2 如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
• 4 实验体会

1 基础知识

1.1 恶意代码的概念与分类

• 定义：
  • 又称恶意软件，指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。
  • 指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
• 特征：
  • 恶意的目的
  • 本身是计算机程序
  • 通过执行发生作用
• 分类：
  • 计算机病毒
  • 蠕虫
  • 后门
  • 特洛伊木马
  • Rootkit
  • ...等

1.2 恶意代码的分析方法

• 静态分析
• 动态分析

1.3 实践目标

• 监控系统的运行状态，看有没有可疑的程序在运行。
• 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
• 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2 实践内容及步骤

2.1 系统运行监控

2.1.1 Windows计划任务schtasks

要求：使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

Step1：输入以下命令，每五分钟记录下有哪些程序在连接网络。此命令完成后，每五分钟就会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里。

schtasks /create /TN 20175304netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:
etstatlog.txt"

下面是一些参数的含义：

• TN：Task Name，本例中是20175304netstat
• SC: SChedule type,本例中是MINUTE,以分钟来计时
• MO: MOdifier
• TR: Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口
• >：将结果输出到c盘下的netstatlog.txt文件中

Step2：由于不能显示记录的时间和日期，这可能不便于我们判断，要是想显示日期和时间，我们可以通过bat批处理文件来实现。

①在C盘下建一个文件c: etstatlog.bat，内容为：

date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt

②打开控制面板->管理工具->任务计划程序，找到我们的任务20175304netstat

③选中任务，找到操作，点击所有项里的属性选项

④找到操作选项卡，双击详细信息，把框中原本的cmd改成c: etstatlog.bat。

⑤此时打开c: etstatlog.txt文件，就可以看到时间信息了。

Step3：把数据导入到excel

①打开Excel，点击数据选项卡，在获取外部数据的方式上选择自文本，选择记录连接情况的netstatlog.txt

②选择分隔符号

③分隔符号全部选上

④列数据格式默认就可以，然后点击完成，数据就导入成功了。

⑤找到插入选项卡，点击数据透视图，来生成一个数据透视图。

Step4：分析统计的数据

• 常见的应用软件（排行前五）：
  • [vmware.exe]：vmware虚拟机
  • [QQ.exe]：QQ
  • [SearchUI.exe]：小娜
  • [QQPCTray.exe]：腾讯电脑管家
  • [Wechat.exe]：微信
• 其余可信的进程：
  • [TsService.exe]：腾讯浏览器的后台服务项
  • [DownloadSDKServer.exe]：迅雷下载软件中的一个关键进程
  • [DingTalk.exe]：钉钉
  • [SGTool.exe]：搜狗输入法的加速启动程序
  • [360wpsrv.exe]：360壁纸的可执行文件
  • [AlibabaProtect.exe]：阿里巴巴反间谍模块
  • [EXCEL.EXE]：Microsoft Excel的主程序
  • [ncat.exe]：文件传输工具
  • [QQPCRtp.exe]：腾讯电脑管家的进程，该进程是起到对qq电脑管家的实时防护服务
• 可疑的进程：
  • [svchost.exe]：微软Windows操作系统中的系统文件

2.1.2 sysmon

• 要求：安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。实际日志的分析还需要发挥下自己的创造力，结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理，这就得大家会什么用什么了。
• 参考：schtask与sysmon应用指导

Step1：在官网上下载sysmon工具

Step2：创建配置文件sysmon.xml，文件中写入以下指令：

<Sysmon schemaversion="4.12">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

Step3：以管理员身份打开命令行，使用指令Sysmon.exe -i sysmon.xml安装sysmon。输入命令之后会弹出一个框，点击Agree进行安装。

安装成功，从图中可以看出版本号为4.23。

Step4：修改配置文件

• 更新版本号为4.23
• 增加对端口5304、443、80的监听服务

<Sysmon schemaversion="4.23">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include"> 
      <DestinationPort condition="is">5304</DestinationPort>     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

Step5：配置文件修改完要更新，指令为：sysmon.exe -c sysmon.xml

Step6：查看日志。

①在开始菜单搜索框中输入event，打开事件查看器。

②在应用程序和服务日志下，查看Microsoft->Windows->Sysmon->Operational。

③运行实验二生成的后门文件，在kali虚拟机中获取Windows的命令行。

④此时就可以查看到后门文件的日志了。

• 进程创建日志：

从图中可以获取到以下信息：

• 镜像：G: cat20175304_backdoor.exe

• 描述：ApacheBench命令行实用程序

• 产品：Apache HTTP服务器

• 回连后产生的网络连接日志：

可以获取到以下信息：

• 程序：G: cat20175304_backdoor.exe

• 协议：tcp

• 源IP地址：192.168.0.107（Windows的IP）

• 目标IP地址：127.0.0.1.（kali的IP）

• 目的端口：5304

2.2 恶意软件分析

要求：分析该软件在①启动回连，②安装到目标机，③其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

（1）读取、添加、删除了哪些注册表项

（2）读取、添加、删除了哪些文件

（3）连接了哪些外部IP，传输了什么数据（抓包分析）

该实验重点在“分析”，不是“如何使用某软件”。组长、课题负责人要求写细一点，其他人可以重点放在分析上。

2.2.1 静态分析

主要有以下几种分析方法：

• 文件扫描（VirusTotal、VirusScan工具等）
• 文件格式识别（peid、file、FileAnalyzer工具等）
• 字符串提取（Strings工具等）
• 反汇编（GDB、IDAPro、VC工具等）
• 反编译（REC、DCC、JAD工具等）
• 逻辑结构分析（Ollydbg、IDAPro工具等）
• 加壳脱壳（UPX、VMUnPacker工具等）

我主要选取以下几种方法和工具来进行分析

（1） 文件扫描（VirusTotal）：检出率54/72

从下图中的详情信息可以看到以下信息：

• 该文件是ApacheBench命令行实用程序

• 根据Apache许可证2.0版（以下简称“许可证”）授权的注释；除非符合许可证，否则您不能使用此文件。您可以在http://www.apache.org/licenses/License-2.0上获取许可证副本，除非适用法律要求或书面同意，否则根据许可证分发的软件是按“原样”分发的，无任何明示或暗示的保证或条件。请参阅许可证，以了解控制许可证下的权限和限制的特定语言。

  

（2）文件格式识别（peid工具）

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。

• 对未加壳的后门文件进行扫描：PEiD的主要功能是查壳，所以这个后门文件并没有被它查出异常

(3) 反编译、反汇编（PE Explorer工具）

PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。该软件支持插件，你可以通过增加插件加强该软件的功能，原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器，非常好用。

• 文件头信息：似乎没什么用处

• 调用的DDL文件：用PE Explorer查看到的DDL文件比刚刚用peid看到的更加详细了一些，它指出了DDL文件调用了哪些函数
  

• 版本信息：这里的很多内容其实在之前的日志文件还有VirusTotal网站上都有看到过

• 数据目录、节头、调试信息等对分析意义不大，就不截图了

2.2.2 动态分析

主要有以下几种方法：

• 快照比对（SysTracer、Filesnap、Regsnap工具等）
• 抓包分析（WireShark工具等）
• 行为监控（Filemon、Regmon、ProcessExplorer工具等）
• 沙盒（NormanSandbox、CWSandbox工具等）
• 动态跟踪调试（Ollydbg、IDAPro工具等）

（1）抓包分析（WireShark工具）

• 输入dir之后捕获到的数据包

从数据包中可以看到源IP、目的IP、源端口、目的端口以及传输的数据。

• 输入mkdir test之后捕获到的数据包

3 问题回答

3.1 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

用Windows自带的计划任务schtasks每分钟记录一下，然后把结果都导入到EXCEL中，看看哪些进程占比较多，是否是可疑进程。选出比较可疑的，缩小范围之后就可以对这些可疑进程进行分析。静态分析：VirusTotal、VirusScan进行扫描较为方便；动态分析：SysTracer工具可以创建快照，并对不同快照进行对比分析。

3.2 如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

• 用sysmon可以查看该进程创建了哪些日志文件
• 用Wireshark进行抓包，可以看该进程传输了哪些数据

4 实验体会

这次实验操作性很强，需要结合之前所做实验完成。由于之前文件较长时间没用，有些已经被删除需要重新完成。且本次实验使用到的这些软件的具体操作，都不是很了解，因此花费了较长的时间。不过通过此次试验，让我对恶意代码的分析、遇到恶意代码要如何解决以及如何防范恶意代码有了一定的理解。