2018-2019-2 20165219《網絡對抗技術》Exp4 惡意代碼分析

基礎問題回答

實驗目的

監控系統的運行狀態，看有沒有可疑的程序在運行

分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件

假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質

基礎問答

若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

答：掃描日誌

利用wireshark查看數據包,分析數據流

使用Process Explorer工具，監視進程執行狀況

若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

答：利用wireshark查看數據包，查找能夠數據鏈接

運行CMD --> 輸入wmic --> process能夠查看到進程的程序。

實驗步驟

系統運行監控

C盤下新建netstatlog.bat 和 netstatlog.txt

在 netstatlog.bat 中輸入

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

cmd中輸入schtasks /create /TN 20165219netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"用來建立一個任務

打開任務計劃程序

雙擊這個任務，點擊操做並編輯，將「程序或腳本」改成咱們建立的netstat.bat批處理文件，而且將添加參數設置爲空。

使用最高權限運行

執行此腳本必定時間，就能夠在netstat5318.txt文件中查看到本機在該時間段內的聯網記錄

系統運行監控——利用Sysmon

肯定要監控的目標

寫配置文件

<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
  <!-- Log all drivers except if the signature -->
  <!-- contains Microsoft or Windows -->
  <DriverLoad onmatch="exclude">
    <Signature condition="contains">microsoft</Signature>
    <Signature condition="contains">windows</Signature>
  </DriverLoad>

  <NetworkConnect onmatch="exclude">
    <Image condition="end with">chrome.exe</Image>
    <Image condition="end with">iexplorer.exe</Image>
    <SourcePort condition="is">137</SourcePort>
    <SourceIp condition="is">127.0.0.1</SourceIp>
  </NetworkConnect>

   <NetworkConnect onmatch="include"> 
    <DestinationPort condition="is">5219</DestinationPort>     
    <DestinationPort condition="is">80</DestinationPort>      
    <DestinationPort condition="is">443</DestinationPort>    
  </NetworkConnect>

  <CreateRemoteThread onmatch="include">
    <TargetImage condition="end with">explorer.exe</TargetImage>
    <TargetImage condition="end with">svchost.exe</TargetImage>
    <TargetImage condition="end with">winlogon.exe</TargetImage>
    <SourceImage condition="end with">powershell.exe</SourceImage>
  </CreateRemoteThread>
</EventFiltering>
</Sysmon>

exclude至關於白名單，不用記錄。include至關於黑名單

網絡鏈接過濾掉了瀏覽器的網絡鏈接、源IP爲127.0.0.1的網絡鏈接和目的端口爲137的鏈接服務，且查看目的端口爲80（http）和443（https）的網絡鏈接。（137端口的主要做用是在局域網中提供計算機的名字或IP地址查詢服務，通常安裝了NetBIOS協議後，該端口會自動處於開放狀態。127.0.0.1表示本機IP。）

遠程線程建立記錄了目標爲explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的遠程線程。

explorer.exe是Windows程序管理器或者文件資源管理器

svchost.exe是一個屬於微軟Windows操做系統的系統程序，是從動態連接庫 (DLL) 中運行的服務的通用主機進程名稱。

winlogon.exe是Windows NT 用戶登錄程序，用於管理用戶登陸和退出。

powershell.exe是專爲系統管理員設計的新 Windows 命令行外殼程序。該外殼程序包括交互式提示和腳本環境，二者既能夠獨立使用也能夠組合使用。

將此配置文件放在c盤中

啓動sysmon

cmd進入sysmon的安裝目錄sysmon.exe -i c:\sysmon5219.txt出現以下界面，點擊agree

輸入sysmon.exe -c c:\sysmon5219.txt來運行此程序。

打開事件查看器，在應用程序和服務日誌-Microsoft-Windows-Sysmon-Operational能夠看到按照配置文件的要求記錄的新事件，以及事件ID、任務類別、詳細信息

檢測到進程的圖

反彈鏈接

惡意軟件分析

使用VirusTotal分析惡意軟件

將exp3中生成的加殼後門在VirusTotal進行掃描

Systracer

下載完成->運行->agree->選第二個->設置監聽端口號5219->安裝完成

兩次快照

回連

進行比對，點擊compare

反彈鏈接一些增長的文件

Wireshark進行抓包分析

抓包前的設置

ncat鏈接時的流量包

遇到的問題

安裝sysmon時報錯

解決：將命令修改成.\Sysmon.exe -i C:\20165219Sysmoncfig.txt

實驗總結與體會

這次試驗有不少細節要注意，經過這個實驗，從新認識了wireshark這個抓包軟件，經過查看數據包，分析數據流達到監控的目的