• 2018-2019-2 20165332 《网络对抗技术》Exp4 恶意代码分析


    2018-2019-2 20165332 《网络对抗技术》Exp4 恶意代码分析

    原理与实践说明

    1.实践目标

    监控你自己系统的运行状态,看有没有可疑的程序在运行。
    分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
    假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

    2.实践内容概述

    系统运行监控
    使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
    安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
    分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
    读取、添加、删除了哪些注册表项
    读取、添加、删除了哪些文件
    连接了哪些外部IP,传输了什么数据

    3.基础问题回答

    如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    使用windows自带的schtasks指令设置一个计划任务,发现网络连接异常
    使用Sysmon,编写配置文件,记录有关的系统日志
    使用Process Explorer工具,监视进程执行情况。
    使用Process Monitor工具,监视文件系统、注册表、进程/线程的活动。

    如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    使用systracer工具分析恶意软件,查看其对注册表和文件的修改。
    使用Wireshark进行抓包分析,监视其与主机进行的通信过程。
    使用Process Explorer工具或Process Monitor工具,监视文件系统、注册表、进程/线程的活动。

    实践过程

    1.使用schtasks指令监控系统

    使用schtasks /create /TN netstat5332 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstatlog.txt"命令创建计划任务netstat5332:

    在C盘中创建一个netstat5332.bat脚本文件(可先创建txt文本文件,使用记事本写入后通过修改文件名来修改文件格式)
    在其中写入以下内容,如下图所示:

    打开任务计划程序,可以看到我们新创建的这个任务:

    双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的netstat5332.bat批处理文件。

    在属性中“常规”一栏最下面勾选“使用最高权限运行”,不然程序不会自动运行

    在属性中“条件”这一选项中的“电源”一栏中,取消勾选“只有计算机使用交流电源才启动此任务”,防止电脑一断电任务就停止

    执行此脚本一定时间,就可以在netstat5318.txt文件中查看到本机在该时间段内的联网记录:

    当记录的数据足够丰富时,停止任务,将所得数据在excel中进行分析,此过程要一直保持开机联网状态才能持续监控
    统计图如下:

    综合分析,联网最多的是是我2345输入法对应的程序2345PinyinCloud.exe。

    2.使用sysmon工具监控系统

    Sysmon是微软Sysinternals套件中的一个工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
    首先创建配置文件sysmon5332.txt,并输入如下的代码:

    <Sysmon schemaversion="9.01">
      <!-- Capture all hashes -->
      <HashAlgorithms>*</HashAlgorithms>
      <EventFiltering>
        <!-- Log all drivers except if the signature -->
        <!-- contains Microsoft or Windows -->
        <DriverLoad onmatch="exclude">
          <Signature condition="contains">microsoft</Signature>
          <Signature condition="contains">windows</Signature>
        </DriverLoad>
        
        <NetworkConnect onmatch="exclude">
          <Image condition="end with">iexplorer.exe</Image>
          <SourcePort condition="is">137</SourcePort>
          <SourceIp condition="is">127.0.0.1</SourceIp>
        </NetworkConnect>
    
        <NetworkConnect onmatch="include"> 
          <DestinationPort condition="is">5332</DestinationPort>     
          <DestinationPort condition="is">80</DestinationPort>      
          <DestinationPort condition="is">443</DestinationPort>    
        </NetworkConnect>
    
        <CreateRemoteThread onmatch="include">
          <TargetImage condition="end with">explorer.exe</TargetImage>
          <TargetImage condition="end with">svchost.exe</TargetImage>
          <TargetImage condition="end with">winlogon.exe</TargetImage>
          <SourceImage condition="end with">powershell.exe</SourceImage>
        </CreateRemoteThread>
      </EventFiltering>
    </Sysmon>
    

    安装sysmon:sysmon -accepteula –i -n

    在命令行下使用sysmon -c Sysmon20165332.xml命令可以对sysmon进行配置指定配置文件

    查看“事件查看器”,选择日志的位置,应用程序和服务日志/Microsoft/Windows/Sysmon/Operational,在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等。

    启动回连、安装到目标主机。
    输入getpid 查询进行数据筛选

    在服务日志中发现了后门程序的痕迹

    3.恶意软件分析

    (1)静态分析:
    文件扫描(VirScan工具)
    使用在线VirusScan工具对上次实验中生成的.jar文件进行扫描

    点击 哈勃文件 分析查看详细分析结果:
    在进程行为中可以看到,可疑行为包括隐藏窗口创建进程、创建进程和创建本地线程

    在文件行为中可以看到,可疑行为包括创建文件、修改文件内容、删除文件和查找文件

    在网络行为中可以看到,可疑行为包括建立到一个指定的套接字连接和按名称获取主机地址,其中建立到一个指定的套接字连接就是实现kali反弹连接,获取受害机权限的方法。

    在其他行为中可以看到,可疑行为包括打开互斥体、打开事件和创建事件对象

    (2)动态分析:
    systracer分析恶意软件
    第一步:下载安装Systracer。
    一.首先下载完成后进行安装,步骤为:agree->选第二个
    ->设置监听端口号

    ->安装完成
    二.在打开后门前先快照一下,点击“take snapshot”,如图,按照以下步骤进行:

    三.Kali打开msfconsole,完成相关设置后开始监听,Windows运行后门后,拍摄快照:

    四.进行分析:

    1.点击上方“Applications”->左侧“Running Processes”->找到后门进程“20165329_backdoor.exe”->点击“Opened Ports”查看回连地址、远程地址和端口号:

    2.在快照界面“Snapshots”右下角点击“Compare”,比对一下回连前后计算机发生的变化,所有蓝色标注的地方,就是前后发生变化的地方:

    3.此外还对注册表中hkey_local_machine进行了修改,修改内容如下:

    4.此外我们可以通过查看后门软件的“opened handles”(打开的句柄)来对比他们都做了什么
    5.可以看到后门的目标及源ip和端口信息

    实验感想

    本次实验的重点在分析恶意代码。我们学习使用了数款用于检测恶意代码的指令或是软件,例如SysTracer、Sysmon等工具。

    通过学习了解到,恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。

    我们要时常对电脑的行为进行监控,不能只依靠杀毒软件,杀毒软件不是百分之百安全的。

  • 相关阅读:
    element ui 时间控件 多个日期
    java 获取两个日期之间的所有日期(年月日)
    java 正则表达式(内附例子)
    Notepad++怎么使用正则替换
    基于 vue+element ui 的cdn网站(多页面,都是各种demo)
    使用github搭建个人html网站
    PL/SQL Developer 如何记住密码
    PL/SQL Developer图形化窗口创建数据库(表空间和用户)以及相关查询sql
    安装pl/sql developer(内附下载地址)
    vue中操作cookie的插件
  • 原文地址:https://www.cnblogs.com/yyzzuishuai/p/10663009.html
Copyright © 2020-2023  润新知