• 2019-2020-2 20175310奚晨妍《网络对抗技术》Exp4 恶意代码分析


    1 基础知识

    1.1 恶意代码的概念与分类

    • 定义:
      • 又称恶意软件,指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
      • 指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
    • 特征:
      • 恶意的目的
      • 本身是计算机程序
      • 通过执行发生作用
    • 分类:
      • 计算机病毒
      • 蠕虫
      • 后门
      • 特洛伊木马
      • Rootkit
      • ...等

    1.2 恶意代码的分析方法

    • 静态分析
    • 动态分析

    1.3 实践目标

    • 监控系统的运行状态,看有没有可疑的程序在运行。
    • 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
    • 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

    2 实践内容及步骤

    2.1 系统运行监控

    2.1.1 Windows计划任务schtasks

    要求:使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

    Step1:输入以下命令,每五分钟记录下有哪些程序在连接网络。此命令完成后,每五分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里。

    schtasks /create /TN 20175310netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:
    etstatlog.txt"
    

    下面是一些参数的含义:

    • TN:Task Name,本例中是20175310netstat
    • SC: SChedule type,本例中是MINUTE,以分钟来计时
    • MO: MOdifier
    • TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
    • >:将结果输出到c盘下的netstatlog.txt文件中

    Step2:由于不能显示记录的时间和日期,这可能不便于我们判断,要是想显示日期和时间,我们可以通过bat批处理文件来实现。

    ①在C盘下建一个文件c: etstatlog.bat,内容为:

    date /t >> c:
    etstatlog.txt
    time /t >> c:
    etstatlog.txt
    netstat -bn >> c:
    etstatlog.txt
    

    ②打开控制面板->管理工具->任务计划程序,找到我们的任务20175310netstat

    ③选中任务,找到操作,点击所有项里的属性选项

    ④找到操作选项卡,双击详细信息,把框中原本的cmd改成c: etstatlog.bat

    ⑤此时打开c: etstatlog.txt文件,就可以看到时间信息了。

    Step3:把数据导入到excel

    ①打开Excel,点击数据选项卡,在获取外部数据的方式上选择自文本,选择记录连接情况的netstatlog.txt

    ②选择分隔符号

    ③分隔符号全部选上

    ④列数据格式默认就可以,然后点击完成,数据就导入成功了。

    ⑤找到插入选项卡,点击数据透视图,来生成一个数据透视图。

    Step4:分析统计的数据

    • 常见的应用软件(排行前五):
      • [vmware.exe]:vmware虚拟机
      • [dgservice.exe]:驱动精灵
      • [QQBrowser.exe]:QQ浏览器
      • [Thunder.exe]:迅雷
      • [QQPCTray.exe]:腾讯电脑管家
    • 其余可信的进程:
      • [TsService.exe]:腾讯浏览器的后台服务项
      • [DownloadSDKServer.exe]:迅雷下载软件中的一个关键进程
      • [DingTalk.exe]:钉钉
      • [pdfspeedup.exe]:Adobe Reader加速器
      • [SGTool.exe]:搜狗输入法的加速启动程序
      • [360wpsrv.exe]:360壁纸的可执行文件
      • [AlibabaProtect.exe]:阿里巴巴反间谍模块
      • [EXCEL.EXE]:Microsoft Excel的主程序
      • [LdsLite.exe]:鲁大师
      • [ncat.exe]:文件传输工具
      • [qmdl.exe]:电脑管家的下载中心进程,与更新病毒库和下载补丁有关
      • [QQPCRtp.exe]:腾讯电脑管家的进程,该进程是起到对qq电脑管家的实时防护服务
    • 可疑的进程:
      • [svchost.exe]:微软Windows操作系统中的系统文件,从动态链接库 (DLL) 中运行的服务的通用主机进程,但是数目不是很多,只检测到了一个

    2.1.2 sysmon

    • 要求:安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理,这就得大家会什么用什么了。
    • 参考:schtask与sysmon应用指导

    Step1:官网上下载sysmon工具

    Step2:创建配置文件sysmon.xml,文件中写入以下指令:

    <Sysmon schemaversion="4.12">
      <!-- Capture all hashes -->
      <HashAlgorithms>*</HashAlgorithms>
      <EventFiltering>
        <!-- Log all drivers except if the signature -->
        <!-- contains Microsoft or Windows -->
        <DriverLoad onmatch="exclude">
          <Signature condition="contains">microsoft</Signature>
          <Signature condition="contains">windows</Signature>
        </DriverLoad>
        
        <NetworkConnect onmatch="exclude">
          <Image condition="end with">chrome.exe</Image>
          <Image condition="end with">iexplorer.exe</Image>
          <SourcePort condition="is">137</SourcePort>
          <SourceIp condition="is">127.0.0.1</SourceIp>
        </NetworkConnect>
    
        <CreateRemoteThread onmatch="include">
          <TargetImage condition="end with">explorer.exe</TargetImage>
          <TargetImage condition="end with">svchost.exe</TargetImage>
          <TargetImage condition="end with">winlogon.exe</TargetImage>
          <SourceImage condition="end with">powershell.exe</SourceImage>
        </CreateRemoteThread>
      </EventFiltering>
    </Sysmon>
    

    Step3:以管理员身份打开命令行,使用指令Sysmon.exe -i sysmon.xml安装sysmon。输入命令之后会弹出下面这个框,点击Agree进行安装。

    安装成功,从图中可以看出版本号为4.23。

    Step4:修改配置文件

    • 更新版本号为4.23
    • 增加对端口5310、443、80的监听服务
    <Sysmon schemaversion="4.23">
      <!-- Capture all hashes -->
      <HashAlgorithms>*</HashAlgorithms>
      <EventFiltering>
        <!-- Log all drivers except if the signature -->
        <!-- contains Microsoft or Windows -->
        <DriverLoad onmatch="exclude">
          <Signature condition="contains">microsoft</Signature>
          <Signature condition="contains">windows</Signature>
        </DriverLoad>
        
        <NetworkConnect onmatch="exclude">
          <Image condition="end with">iexplorer.exe</Image>
          <SourcePort condition="is">137</SourcePort>
          <SourceIp condition="is">127.0.0.1</SourceIp>
        </NetworkConnect>
    
        <NetworkConnect onmatch="include"> 
          <DestinationPort condition="is">5310</DestinationPort>     
          <DestinationPort condition="is">80</DestinationPort>      
          <DestinationPort condition="is">443</DestinationPort>    
        </NetworkConnect>
    
        <CreateRemoteThread onmatch="include">
          <TargetImage condition="end with">explorer.exe</TargetImage>
          <TargetImage condition="end with">svchost.exe</TargetImage>
          <TargetImage condition="end with">winlogon.exe</TargetImage>
          <SourceImage condition="end with">powershell.exe</SourceImage>
        </CreateRemoteThread>
      </EventFiltering>
    </Sysmon>
    

    Step5:配置文件修改完要更新,指令为:sysmon.exe -c sysmon.xml

    Step6:查看日志。

    ①在开始菜单搜索框中输入event,打开事件查看器。

    ②在应用程序和服务日志下,查看Microsoft->Windows->Sysmon->Operational

    ③运行实验二生成的后门文件,在kali虚拟机中获取Windows的命令行。

    ④此时就可以查看到后门文件的日志了。

    • 进程创建日志:

    从图中可以获取到以下信息:

    • 镜像:G: cat20175310_backdoor.exe

    • 描述:ApacheBench命令行实用程序

    • 产品:Apache HTTP服务器

    • 回连后产生的网络连接日志:

    从图中可以获取到以下信息:

    • 程序:G: cat20175310_backdoor.exe

    • 协议:tcp

    • 源IP地址:192.168.0.108(Windows的IP)

    • 目标IP地址:192.168.0.101(kali的IP)

    • 目的端口:5310

    2.2 恶意软件分析

    要求:分析该软件在①启动回连,②安装到目标机,③其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

    (1)读取、添加、删除了哪些注册表项

    (2)读取、添加、删除了哪些文件

    (3)连接了哪些外部IP,传输了什么数据(抓包分析)

    该实验重点在“分析”,不是“如何使用某软件”。组长、课题负责人要求写细一点,其他人可以重点放在分析上。

    2.2.1 静态分析

    主要有以下几种分析方法:

    • 文件扫描(VirusTotal、VirusScan工具等)
    • 文件格式识别(peid、file、FileAnalyzer工具等)
    • 字符串提取(Strings工具等)
    • 反汇编(GDB、IDAPro、VC工具等)
    • 反编译(REC、DCC、JAD工具等)
    • 逻辑结构分析(Ollydbg、IDAPro工具等)
    • 加壳脱壳(UPX、VMUnPacker工具等)

    我主要选取以下几种方法和工具来进行分析

    (1) 文件扫描(VirusTotal):检出率58/71

    从下图中的详情信息可以看到以下信息:

    • 该文件是ApacheBench命令行实用程序

    • 根据Apache许可证2.0版(以下简称“许可证”)授权的注释;除非符合许可证,否则您不能使用此文件。您可以在http://www.apache.org/licenses/License-2.0上获取许可证副本,除非适用法律要求或书面同意,否则根据许可证分发的软件是按“原样”分发的,无任何明示或暗示的保证或条件。请参阅许可证,以了解控制许可证下的权限和限制的特定语言。

    (2)文件格式识别(peid工具)

    PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。

    • 对未加壳的后门文件进行扫描:PEiD的主要功能是查壳,所以这个后门文件并没有被它查出异常

    下图中可以看到运行此文件是增加的一些进程:从图中可以看到,这个后门文件执行的时候回运行很多DDL后缀的进行,也就是动态链接库。程序在运行时由系统动态加载到内存中供程序调用,所以调用DDL也是正常的,从名称看也看不出什么异常。

    • 对加壳的后门文件进行扫描:之前实验三生成过加壳的后门,下图为扫描结果。这次就检查出了这个文件是加了壳的。

    (3) 反编译、反汇编(PE Explorer工具)

    PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器,非常好用。

    • 文件头信息:好像看起来对我们没什么用处
    • 调用的DDL文件:用PE Explorer查看到的DDL文件比刚刚用peid看到的更加详细了一些,它指出了DDL文件调用了哪些函数

    • 版本信息:这里的很多内容其实在之前的日志文件还有VirusTotal网站上都有看到过

    • 此外还能看到数据目录、节头、调试信息等,不过对分析意义不大,就不放截图了

    2.2.2 动态分析

    主要有以下几种方法:

    • 快照比对(SysTracer、Filesnap、Regsnap工具等)
    • 抓包分析(WireShark工具等)
    • 行为监控(Filemon、Regmon、ProcessExplorer工具等)
    • 沙盒(NormanSandbox、CWSandbox工具等)
    • 动态跟踪调试(Ollydbg、IDAPro工具等)

    我主要选取以下几种方法和工具来进行分析

    (1)快照比对(SysTracer工具)

    • 为了便于分析,我抓了三种状态:

      • snapshot#1:不做任何操作,系统自然状态

      • snapshot#2:启动后门回连msf

      • snapshot#3:远程在win7上执行查看文件、建立新文件夹、查看用户等操作

    • 将快照1和快照2进行对比,导出差异分析的结果

      • 注册表差异:包括增加、删除、修改操作,下图中红色部分为删除的内容,绿色部分为增加的内容

      之前的是所有的概览,要分析详细的内容的话,查看模式选择仅差异。从图中可以看到后门文件启动并回连之后,修改的相关注册表项是HKEY_USERS,查看到相关的修改发生在HKEY_USERSSID(这里是S-1-5-21-2119850594-2044871672-3475818845-1000)Software目录下,这个键为单独的用户扩展,基于为用户或者被用户安装的其他软件。

      被修改的注册表还有HKEY_CLASSES_USER,其根键中记录的是当前用户的配置数据信息,用户可以利用此根键下的子键修改Windows的许多环境配置。比如系统提示声、鼠标速度、图标间距、图标大小等。

      • 文件差异:包括增加、删除、修改操作。可以看到变化最多的就是C:oost_interprocess文件夹,是用于进程间通讯的临时文件,类似于共享内存的句柄

    此时因为还没有进行操作,只是实现了回连,所以从中看不到应用程序上有什么差异。

    • 将快照1和快照3进行对比,导出差异分析的结果

      • 注册表差异:包括增加、删除、修改操作。和刚刚相比,被修改的注册表项多了HKEY_CLASSES_ROOT,该注册表项包含了所有应用程序运行时必需的信息(包括在文件和应用程序之间所有的扩展名和关联、所有的驱动程序名称、类的ID数字、用于应用程序和文件的图标等)。差异中调用Windows的命令行操作有所体现。
      • 文件差异:以增加操作为主。我之前在g: cat文件夹下输入过mkdir test的命令,因此这边文件差异中可以看出。
      image-20200413123141874
      • 应用程序差异:以增加操作为主。可以看到20175310_backdoor.exe文件大量调用了系统中的DDL文件。

    (2)抓包分析(WireShark工具)

    • 输入dir之后捕获到的数据包

    从数据包中可以看到源IP、目的IP、源端口、目的端口以及传输的数据。

    • 输入mkdir test之后捕获到的数据包

    数据包内的结构和刚刚基本相同,不再放截图了。

    3 实验中遇到的问题

    3.1 实验二生成的后门文件一直不能成功回连

    报错:[-] Handler failed to bind to 192.168.0.108:5310:- -

    解决方案:可能存在的原因有以下几个

    • IP地址改变:由于后门文件是之前就生成的,但是现在IP地址发生了改变,所以用之前的文件不能回连成功
    • 端口被占用:由于设置的端口5310已经被其他进程占用,所以不能回连
    • IP地址的设置:重新生成后门文件并传输到Windows系统中要注意设置时用的IP地址要用kali的IP还是Windows的IP,如果不匹配,依旧不能成功。具体过程参见实验二的步骤三

    在排除了以上几个问题之后,就可以成功回连了。

    3.2 实验中需要用到的软件

    我在做实验的过程中找软件也花费了不少时间,我把能用的都已经整理好了,供大家参考。

    下载链接,提取码:7s0t

    包括sysmon、PEiD、PE Explorer、SysTracer这四个软件的安装包。

    4 问题回答

    4.1 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    • 我认为Windows自带的计划任务schtasks就很好用,按照上面的操作,每五分钟甚至是每分钟记录一下,然后把结果都导入到EXCEL中,看看哪些进程占比较多,是否是可疑进程。
    • 刚刚是做一个大致的筛选,选出比较可疑的,缩小范围之后就可以对这些可疑进程进行分析。
      • 静态分析:VirusTotal、VirusScan进行扫描较为方便
      • 动态分析:SysTracer工具可以创建快照,并对不同快照进行对比分析

    4.2 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    • 用sysmon可以查看该进程创建了哪些日志文件
    • 用SysTracer工具可以查看该进程对注册表、文件还有应用程序进行了哪些修改
    • 用Wireshark进行抓包,可以看该进程传输了哪些数据

    5 实验体会

    这次实验操作性很强,在做的过程中会遇到很多没有学过的问题,特别是使用到的这些软件的具体操作,都不是很了解,因此花费了较长的时间。不过通过此次试验,让我对恶意代码的分析、遇到恶意代码要如何解决以及如何防范恶意代码有了深入的理解。

    6 参考资料

    20144306《网络对抗》MAL_恶意代码分析

    Windows计划任务schtasks

  • 相关阅读:
    MySQL锁总结
    DDL和DML
    字节、字、位、比特之间的关系
    Mysql数据库、表设计规范指南
    Mysql性能优化关键配置指南
    3.python正则匹配不到内容时消耗大量内存
    1. postman使用
    2. python提示:TypeError: unhashable type: 'list'
    14. selenium的Page Object模型
    12.unittest的学习
  • 原文地址:https://www.cnblogs.com/xicyannn/p/12690816.html
Copyright © 2020-2023  润新知