2018-2019-2 《网络对抗技术》Exp4 恶意代码分析20165211

Posted akashi

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2018-2019-2 《网络对抗技术》Exp4 恶意代码分析20165211相关的知识,希望对你有一定的参考价值。


实践内容概述

实践目标

  1. 监控你自己系统的运行状态,看有没有可疑的程序在运行。
  2. 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
  3. 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

实践内容

  1. 系统运行监控
    1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包
    2. 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
  2. 恶意软件分析
    1. 分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时。该后门软件
      • 读取、添加、删除了哪些注册表项
      • 读取、添加、删除了哪些文件
      • 连接了哪些外部IP,传输了什么数据(抓包分析)

实验问题回答

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  1. 使用schtasks指令设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录,分析记录。
  2. 使用sysmon工具,通过修改配置文件,记录相关的日志文件。
  3. 使用Process Explorer工具,监视进程执行情况。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  1. 静态分析
    1. VirusTotal、VirusScan网页扫描
    2. PEID扫出文件壳
    3. Ollydbg,IDA反汇编
  2. 动态分析
    1. wireshark抓包分析
    2. systracer快照比较

实践过程记录

系统运行监控

使用schtacks指令监控系统运行

  1. 使用指令

    schtasks /create /TN netstat20165211 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:
    etstatlog.txt"

    创建任务netstat20165211,其中指令解释如下

    • TN是TaskName的缩写,我们创建的计划任务名是netstat5318;
    • sc表示计时方式,我们以分钟计时填MINUTE,该例中为每一分钟记录一次电脑状态;
    • TR=Task Run,要运行的指令是 netstat
    • bn,b表示显示可执行文件名,n表示以数字来显示IP和端口;
    • >表示输出重定向,将输出存放在C盘的netstatlog.txt文件中

    成功创建

技术图片

附:在此过程中,我出现了cmd显示无效参数的问题,如下

技术图片

后来经过反复排查,才发现是TR之前少加了一个空格

查看结果

技术图片

  1. 在C盘创建一个netstat5211.bat的文件,写入以下内容

    date /t >> c:
    etstat5211.txt time /t >> c:
    etstat5211.txt 
    netstat -bn >> c:
    etstat5211.txt

    打开任务计划程序打开netstat20165211 将此程序的程序或脚本改为我们创建的netstat5211.bat

技术图片

安全选项中勾选使用最高权限运行

技术图片
让其自动运行一段时间,收集足够的数据以待分析

  1. 收集足够的数据后,将数据导入EXCEL进行,选择数据-->获取外部数据-->自文本,选择我们的文件,文本导入向导配置如下

技术图片

技术图片

技术图片

技术图片

文本导入后,效果如下

技术图片

  1. 选中B列,可以看到,这一列为所运行的程序,对这一列进行分析。选中后-->插入-->数据透视表-->数据透视图

    将数据透视表字段列表配置如下

技术图片

  1. 得到分析图,查看

技术图片

可以看到wps.exe是最高的,但是,我一直都没有运行wps,搜索之后,也发现了wps.exe文件,应该是这个文件一直在后台运行着。随后是chrome.exeVMware相关的服务,还有nimdnsResponder.exenidmsrv.exenimxs.exetagsrv.exe,查了一下,前三个为LabVIEW相关程序。LabVIEWNationalInstruments,Inc.出品的一种图形化的编程语言,用于快速创建灵活的、可升级的测试、测量和控制应用程序。但其连接的都是本地地址,应该不存在木马文件,后门文件的可能性。在图中还可以看到我们的后门程序。

使用sysmon工具监控系统运行

  1. 编写对应的配置文件,这里编写的文件systom5211内容如下

    <Sysmon schemaversion="3.10">
      <!-- Capture all hashes -->
      <HashAlgorithms>*</HashAlgorithms>
      <EventFiltering>
        <!-- Log all drivers except if the signature -->
        <!-- contains Microsoft or Windows -->
        <ProcessCreate onmatch="exclude">     
          <Image condition="end with">chrome.exe</Image> 
        </ProcessCreate>
    
        <FileCreateTime onmatch="exclude" >
          <Image condition="end with">chrome.exe</Image>
        </FileCreateTime>
    
        <NetworkConnect onmatch="exclude">
          <Image condition="end with">chrome.exe</Image>
          <SourcePort condition="is">137</SourcePort>
          <SourceIp condition="is">127.0.0.1</SourceIp>
        </NetworkConnect>
        <NetworkConnect onmatch="include">     
          <DestinationPort condition="is">80</DestinationPort>      
          <DestinationPort condition="is">443</DestinationPort>    
        </NetworkConnect>
    
        <CreateRemoteThread onmatch="include">
          <TargetImage condition="end with">explorer.exe</TargetImage>
          <TargetImage condition="end with">svchost.exe</TargetImage>
          <TargetImage condition="end with">winlogon.exe</TargetImage>
          <SourceImage condition="end with">powershell.exe</SourceImage>
        </CreateRemoteThread>
      </EventFiltering>
    </Sysmon>

    语句含义

    • exclude相当于白名单,不包括,即不用记录。include相当于黑名单,即要记录的。
    • Image condition,映像条件,根据自己使用的浏览器更改。例如谷歌浏览器是“chrome.exe”,IE浏览器是“iexplore.exe”
    • 进程创建时间类似,也是不创建浏览器创建进程的时间。
    • 网络连接为过滤掉浏览器的网络连接、源IP为127.0.0.1的网络连接和目的端口为137的连接服务,且查看目的端口为80(http)和443(https)的网络连接。
      • 137端口的主要作用是在局域网中提供计算机的名字或 IP地址查询服务,一般安装了NetBios协议后,该端口会自动处于开放状态。
      • 127.0.0.1表示本机 IP。
    • 远程线程创建记录了目标为explorer.exesvchost.exewinlogon.exepowershell.exe 的远程线程。
      • explorer.exe是Windows程序管理器或者文件资源管理器
      • svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
      • winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出。
      • powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。
  2. 安装sysmon,下载解压

  3. 进入解压后的目录,在命令行输入sysmon.exe -i C:sysmon5211.xml
    技术图片

    提示报错后,输入命令sysmon -accepteula -i -n成功安装

技术图片

  1. 打开事件查看器,应用程序和服务日志/Microsoft/Windows/Sysmon/Operational按此路径查看按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息
    技术图片

  2. kali端启动第二次实验生成的后门文件

技术图片

我们可以在事件查看器中看到后门文件的事件记录

技术图片

同时,在查看事件时会找到大量的有关allhost.exe文件的记录

技术图片

搜查资料后发现,dllhost.exe是微软Windows操作系统的一部分。dllhost.exe用于管理DLL应用,在任务管理器中可以找到,这个程序对是微软Windows系统的正常运行是非常重要的。

冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体“dllhost.exe”放到了C:WindowsSystem32Wins目录里面。

还可以找到我们上一步自动运行的脚本的进程,在每分钟的整点就会有一串这样的进程

技术图片


恶意软件分析

使用Virus Total分析恶意软件

同样还是使用之前实验二,实验三的后门软件,选择一个Akashi_Shellcode_upx.exe,进行分析

技术图片

查看细节,可以看到他的基本信息(文件类型,文件大小等等)

技术图片

加壳情况

技术图片

还可以看到,这个文件会发起与192.168.78.129的连接。

技术图片

同样的分析网站还有virscan,在实验三中,在这两个网站已经测试了很多的实例

使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。

我们测试一下未加壳,UPX压缩壳,和加密壳hyperion三种情况

未加壳

技术图片

UPX压缩壳

技术图片

加密壳hyperion(加密壳找不到壳呀…………)

技术图片

使用Process Explorer分析恶意软件

在运行后门程序之后,我们可以看到在软件页面出现了新的进程20165211_akahsi.exe

技术图片

打开后可以查看进程的信息

使用Process Monitor分析恶意软件

通过对软件的使用,首先寻找大面积出现的20165211_akashi.exe进程,找到之后,向前推,即可找到Explore.EXE对运行20165211_akashi.exe的操作。

技术图片

随即可以看到20165211_akashi.exe的进程状况

技术图片

使用systracer分析恶意软件

  • 在靶机安装SysTracer软件

技术图片

  • 保存快照,命名为Snapshot #1

技术图片

  • 将后门软件植入靶机,对靶机注册表、文件等进行快照,保存为Snapshot #2

技术图片

技术图片

  • 打开kali的msfconsle,靶机运行木马,回连kali,win7下再次快照,保存为Snapshot #3

技术图片

技术图片

  • 在kali中对靶机进行获取摄像头操作,win7下再次快照,保存为Snapshot #4

技术图片

技术图片

分析,通过compare键,进行比较分析。

快照一和快照二

可以看到,增加了我的后门文件20165211_akahsi.exe,同时在这个过程中增加,删除了exe文件和dll文件

技术图片

技术图片

快照二和快照三

可以看到,多了一个Apache HTTP Server 进程,指向的文件是我们的后门文件,这个进程新建了很多目录,文件,键值

技术图片

同时相比快照二,也删除更新了很多的文件

技术图片

快照三和快照四

我们可以看到最明显的是,在注册表中多了很多对于摄像头的操作

技术图片

技术图片

使用wireshark分析恶意软件

主要分析了20165211_akashi.exe,已知ip为192.128.0.106,即可设过滤条件为ip.addr==192.168.0.106,查看结果为

技术图片

我们可以看到,有很多靶机和主机之间的tcp连接数据包,其中PSH,ACK包有数据进行传输

技术图片


实验总结与体会

本次实验做的时候,正值清明假期,回家的时候,把自己的虚拟机文件拷硬盘带回去,结果用别人的电脑做的时候就各种不习惯,实验做了很久,崩溃。

这次实验,重要让我们知道了恶意软件的进程特点,也给我们提供了很多分析恶意软件的工具,比如SysTracer,Process Explorer等等,在做实验的过程中也确实遇到了很多的问题。在很多时候,软件出来结果时,更是如同大海捞针,需要自己足够了解进程的正常状态,软件的正确使用方式才能更高效的做完。

做完实验了,该去删电脑上的后门程序了……

以上是关于2018-2019-2 《网络对抗技术》Exp4 恶意代码分析20165211的主要内容,如果未能解决你的问题,请参考以下文章

2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

2018-2019-2 20165205《网络对抗技术》Exp4 恶意代码分析

2018-2019-2 20165118 《网络对抗技术》Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165225 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165322 Exp4 恶意代码分析