2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析

Posted cxd20175303

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析相关的知识,希望对你有一定的参考价值。

2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析

1 基础知识

1.1 恶意代码的概念与分类

  • 定义:
    又称恶意软件,指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
    指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
  • 特征:
    恶意的目的
    本身是计算机程序
    通过执行发生作用
  • 分类:
    计算机病毒、蠕虫、后门、特洛伊木马、Rootkit

1.2 恶意代码的分析方法

  • 静态分析
  • 动态分析

1.3 实践目标

  • 监控系统的运行状态,看有没有可疑的程序在运行。
  • 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
  • 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

2 实践内容及步骤

2.1 系统运行监控

2.1.1 Windows计划任务schtasks

  • 输入以下命令,每五分钟记录下有哪些程序在连接网络。此命令完成后,每隔2分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里。
    schtasks /create /TN netstat5303 /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c: etstatlog.txt"
    上条命令中的参数分别为:
    TN是TaskName的缩写,我们创建的计划任务名是netstat5303;
    sc表示计时方式,我们以分钟计时填MINUTE;
    TR是Task Run,要运行的指令是netstat
    bnb表示显示可执行文件名,n表示以数字来显示IP和端口;
    >表示输出重定向,将输出存放在c: etstatlog.txt文件中
    技术图片

在C盘中创建一个名为netstat5303.bat的脚本文件(打开记事本,保存到d盘时选所有文件格式,命名以.bat结尾,最后移动到c盘),写入以下内容:

date /t >> c:
etstat5303.txt
time /t >> c:
etstat5303.txt
netstat -bn >> c:
etstat5303.txt

技术图片

打开控制面板搜索管理工具,然后打开任务计划程序,找到新建的计划netstat5303
技术图片

点击计划属性,然后操作选项卡里面的编辑启动程序,把程序或脚本cmd改成netstat5303.bat
技术图片

常规选项卡勾选不管用户是否登录都要运行使用最高权限运行
技术图片

程序运行后,打开netstat5303.txt,就能看到计划运行记录下来的联网记录
技术图片

打开Excel,在数据->自文本导入txt文件
技术图片

导入向导第1步选择分隔符号
技术图片

导入向导第2步,选择所有分隔符号
技术图片

导入数据后如下
技术图片

插入数据透视图后右边会有如下界面,将周四拖到下面
技术图片

便有了如下数据透视图
技术图片

分析统计数据

  • 常见应用进程
    • MicrosoftedgeCP.exe:运行微软自带浏览器必须运行的windows操作系统的可执行文件
    • svchost.exe:是微软Windows操作系统中的系统文件,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
    • SearchUL.exe:是小娜(Cortanar)的搜索进程
    • Excel.exe:Excel进程
    • WeChat.exe:微信
  • 其他进程
    • 360wpsrv.exe:360我都卸载了他还在偷偷运行。
    • Explorer.exe、Microsedge.exe、LenovoEMDriverAssist.exe、PhotoMaster.exe等

2.1.2 sysmon

官网下载sysmon
技术图片

下载后到sysmon.exe所存在的文件夹内,新建一个xml文件,与bat文件形式类似,文件中写入一下代码:
其中exclude相当于白名单,即不记录,include相当于黑名单,要记录,onmatch意为匹配
Driverload是驱动加载程序
NetworkConnect是网络连接
CreateRemote是远程线程创建

<Sysmon schemaversion="10.42">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

然后打开以管理员身份运行命令提示符,在sysmon文件夹下输入以下指令
Sysmon.exe -i sysmon.xml
出现安装界面
技术图片

安装成功后,出现sysmon started正常
技术图片

在sysmon.xml文件的NetworkConnect段后填入如下代码

<NetworkConnect onmatch="include"> 
<DestinationPort condition="is">5303</DestinationPort>     
<DestinationPort condition="is">80</DestinationPort>      
<DestinationPort condition="is">443</DestinationPort>    
</NetworkConnect>

配置文件修改完要更新,指令为:sysmon.exe -c sysmon.xml
技术图片

查看日志
①在开始菜单搜索框中输入event,打开事件查看器。
②在应用程序和服务日志下,查看Microsoft->Windows->Sysmon->Operational
③kali打开msf控制台运行监听服务,本机运行实验二生成的后门文件,在kali虚拟机中获取Windows的命令行。
④查看后门文件的日志

  • 进程创建日志
    技术图片
    从图中可以得到如下信息:
镜像:D:20175303 柴轩达大三下网络对抗实验
cat20175303_backdoor.exe
描述:ApacheBench命令行实用程序
产品:Apache HTTP服务器
  • 回连后产生的网络连接日志:
    技术图片
    从图中可以得到如下信息:
程序:D:20175303 柴轩达大三下网络对抗实验
cat20175303_backdoor.exe
协议:tcp
源IP地址:192.168.0.1(Windows的IP)
目标IP地址:192.168.0.10(kali的IP)
目的端口:5303

2.2 恶意软件分析

2.2.1 静态分析

主要有以下几种分析方法:

  • 文件扫描(VirusTotal、VirusScan工具等)
  • 文件格式识别(peid、file、FileAnalyzer工具等)
  • 字符串提取(Strings工具等)
  • 反汇编(GDB、IDAPro、VC工具等)
  • 反编译(REC、DCC、JAD工具等)
  • 逻辑结构分析(Ollydbg、IDAPro工具等)
  • 加壳脱壳(UPX、VMUnPacker工具等)
    (1)文件扫描(virustotal),检出率56/70
    技术图片
    从下图可以看出:
  • 该文件是ApacheBench命令行实用程序
  • 根据Apache许可证2.0版(以下简称“许可证”)授权的注释;除非符合许可证,否则您不能使用此文件。您可以在http://www.apache.org/licenses/License-2.0上获取许可证副本,除非适用法律要求或书面同意,否则根据许可证分发的软件是按“原样”分发的,无任何明示或暗示的保证或条件。请参阅许可证,以了解控制许可证下的权限和限制的特定语言。
    技术图片

(2)文件格式识别(pied)

  • PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
  • 对未加壳的后门文件进行扫描:PEiD的主要功能是查壳,所以这个后门文件并没有被它查出异常
    技术图片

下图中可以看到运行此文件会运行很多DDL后缀的进行,也就是动态链接库,作用为程序在运行时由系统动态加载到内存中供程序调用,所以调用DDL是正常的。
技术图片

对加壳的后门文件进行扫描,可以扫描出upx壳
技术图片

(3)反编译、反汇编(PE Explorer工具)

  • PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器。

  • 文件头信息,并无明显可疑信息
    技术图片

  • 调用的DDL文件:PE Explorer比peid显示更加详细,它指出了DDL文件调用了哪些函数
    技术图片

  • 版本信息:与VirusTotal大同小异
    技术图片

2.2.2 动态分析

主要有以下几种方法:

  • 快照比对(SysTracer、Filesnap、Regsnap工具等)
  • 抓包分析(WireShark工具等)
  • 行为监控(Filemon、Regmon、ProcessExplorer工具等)
  • 沙盒(NormanSandbox、CWSandbox工具等)
  • 动态跟踪调试(Ollydbg、IDAPro工具等)
    (1)快照对比(systracer)
    下载安装systracer
    技术图片

点击软件右侧的take snapshotstart,开始捕获;点击stop停止并存储。
快照一(Snapshot #1):未移植后门程序
快照二(Snapshot #2):植入后门程序
快照三(Snapshot #3):运行后门程序并在kali中实现回连
快照四(Snapshot #4):执行websnam_snap命令
快照五(Snapshot #5):执行getuid命令

点击右下角的compare对比快照一和快照二。可以看到快照二新增了后门程序20175303_backdoor.exe,同时增删了其他文件。
技术图片

技术图片

比快照二三,即后门启动前后的变化,快照三中显示正在运行的程序增加了后门程序
技术图片

同时增加了许多ddl文件,即动态链接库
技术图片

(2)抓包分析(WireShark工具)
kali打开msf控制台运行监听程序,windows回联
kali获得命令窗口后输入dir后捕获的数据包
技术图片

从数据包中可以看到源IP、目的IP、源端口、目的端口以及传输的数据等内容
技术图片

输入mkdir xxx之后捕获到的数据包
技术图片

3 实验中遇到的问题

问题1:sysmon运行不成功
解决:参考了杨元同学的sysmon运行步骤成功,之前为什么错,不是很清楚
问题2:systracer运行不成功,无法捕获数据包
解决:原来我用的不是码云上老师给的systracer工具,而是在官网上下载了一个32位的,重新下载安装后解决

4 问题回答

  • 1如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    我认为Windows自带的计划任务schtasks就很好用,按照上面的操作,每五分钟甚至是每分钟记录一下,然后把结果都导入到EXCEL中,看看哪些进程占比较多,是否是可疑进程。
    刚刚是做一个大致的筛选,选出比较可疑的,缩小范围之后就可以对这些可疑进程进行分析。
    静态分析:VirusTotal、VirusScan进行扫描较为方便
    动态分析:SysTracer工具可以创建快照,并对不同快照进行对比分析
  • 2如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    用sysmon可以查看该进程创建了哪些日志文件
    用SysTracer工具可以查看该进程对注册表、文件还有应用程序进行了哪些修改
    用Wireshark进行抓包,可以看该进程传输了哪些数据

5 实验体会

这次实验对各种小工具的使用相当的多,而在我电脑上出问题是真不少,有的也是花了不少时间才解决。感觉这次实验主要的还是用的自己曾经生成过得后门,一直看的是他的相关信息,对它进行分析。但实际上如果不清楚哪些进程是病毒或木马,可能我找不到它,无法直接进行分析。通过日志或者软件记录进程,可能我也无法通过名称来判断他是否可疑,因为我看正常和不正常的进程名,没有什么区别,或许是我没学到这次实验的精髓吧。

以上是关于2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析的主要内容,如果未能解决你的问题,请参考以下文章

2019-2020-2 20175303柴轩达 《网络对抗技术》Exp2 后门原理与实践

20175303柴轩达 2019-2020-2 《网络对抗技术》Exp0 环境搭建-Kali Linux 的安装

2018-2019-2 20175303 实验三敏捷开发与XP实践《Java开发环境的熟悉》实验报告

20175312 陶光远 2019-2020-2 《网络对抗技术》Exp0 环境搭建-Kali Linux 的安装

2019-2020-1 20175304 20175303 20175327 20175335 实验三-并发程序

2019-2020-2 20175234 《网络对抗》 Exp0 Kali安装