2017-2018-2 20155225《網絡對抗技術》實驗四 惡意代碼分析

2017-2018-2 20155225《網絡對抗技術》實驗四 惡意代碼分析

系統運行監控

使用計劃任務

先在網上找了篇博客學習一下如何使用schtasks命令。

Schtasks命令詳解

咱們須要用到的參數以下：

schtasks /create /tn TaskName /tr TaskRun /sc MINUTE [/mo {1 - 365}]

/tn TaskName
    指定任務的名稱。
    
/tr TaskRun
    指定任務運行的程序或命令。    

/sc schedule
    指定計劃類型，有效值MINUTE表示指定計劃的單位時間爲分鐘。

/mo modifier
    指定任務在其計劃類型內的運行頻率，默認值爲1。

爲了記錄日期和時間，須要用到bat批處理文件

又學習了一下如何寫批處理文件dos 命名大全 .bat文件的寫法

批處理文件是一個文本文件，這個文件的每一行都是一條DOS命令

>、>>兩者都是輸出重定向命。
>命令在清除掉原有文件中的內容後才把新的內容寫入原文件
>>命令會另起一行把新的內容追加到原文件中。

time，顯示和設置DOS的系統時間。[格式] time [hh[:mm[:ss[.cc]]]

date，顯示和設置DOS的系統日期。[格式] date [MM-DD-YY]

netstat，顯示與IP 、TCP 、UDP 和ICMP 協議相關的統計數據
-b顯示包含於建立每一個鏈接或監聽端口的可執行組件
-n以數字形式顯示地址和端口號。

因此，最後bat文件以下：
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

Netstat命令詳解（windows下）

schtasks /end /tn 20155225netstat // 結束定時任務
schtasks /delete /tn 20155225netstat // 結束定時任務

最後發現以下這些應用進程和服務：

• kbasesrv.exe是，金山WPS Office內置靜默自動安裝的，劫持主頁。

• HaozipSvc.exe網上說這是好壓暗裝的挖礦進程，難道個人電腦被利用來挖礦了？
• SGPicFaceTool這是搜狗輸入法表情輔助工具,聽說有bug。
• svchost.exe這個系統進程老是在不停的下載數據。覺得是中毒，其實這只是微軟的一個服務而已，做用是使用空閒的寬帶在後臺傳送文件。
• taskhost.exe進程是Windows7/8/10自帶的一個進程，負責Windows運行計劃任務。
• 發現有wuauserv這個進程，網上有人說wuauserv.exe
  進程文件是病毒,也有人說wuauserv是window update自動更新服務。

• diagtrack是診斷跟蹤服務，用於收集Windows組件的功能性問題數據。

使用sysmon工具

1. 首先寫配置文件

怎麼寫配置文件，參考微軟官方文檔Sysmon v7.01，裏面有用法和例子。

要求監控系統的進程建立、文件建立、網絡鏈接，以下：

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->

<ProcessCreate onmatch="exclude">  //監控除microsoft和windows簽名的進程建立。
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</ProcessCreate>

<FileCreateTime onmatch="include"> //監控cmd建立文件的時間
  <Image condition="end with">cmd.exe</Image>
</FileCreateTime>

<NetworkConnect onmatch="include"> //監控火狐和IE瀏覽器的網絡鏈接
  <Image condition="end with">firefox.exe</Image> //火狐瀏覽器
  <Image condition="end with">iexplorer.exe</Image> //IE瀏覽器
</NetworkConnect>

  </EventFiltering>
</Sysmon>

2.寫好配置文件後，用指令Sysmon.exe -i C:\Sysmoncfg.txt，進行安裝：

安裝時出現了一個錯誤：

提示說，ProcessCreate裏的Signature是意外元素，而且要求是其餘一些與進程建立相關的元素，修改成監控由cmd做爲父進程建立的進程，以下。

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->

<ProcessCreate onmatch="include">  //監控由cmd做爲父進程建立的進程。
 <ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>

<FileCreateTime onmatch="include"> //監控cmd建立文件的時間
  <Image condition="end with">cmd.exe</Image>
</FileCreateTime>

<NetworkConnect onmatch="include"> //監控火狐和IE瀏覽器的網絡鏈接
  <Image condition="end with">firefox.exe</Image> //火狐瀏覽器
  <Image condition="end with">iexplorer.exe</Image> //IE瀏覽器
</NetworkConnect>

  </EventFiltering>
</Sysmon>

修改以後，成功安裝。

而後去查看日誌，經過dos命令eventvwr.exe進入事件查看器，在日誌在應用程序和服務日誌/Microsoft/Windows/Sysmon/Operational下，能夠看到sysmon監控到的各類記錄。

分析幾個具體事件：

1. 進程終止事件，這是一個關閉QQ的記錄
   

2. 網絡鏈接監控事件，這是一個火狐瀏覽器訪問117.122.217.19的記錄，能夠看到這是一個https鏈接，訪問的443端口。
   

3. 進程建立事件，這是我建立計劃任務的記錄，由於配置文件裏我指定監控了父進程，因此能夠看到父進程是cmd。
   

惡意軟件分析

用systracer工具，抓取後門植入後，回連時，獲取截屏時，獲取擊鍵記錄時，四個階段的快照以下：

對比快照一和快照二，發現如下變化：

1. HKEY_CURRENT_USER這個根鍵保存了當前登陸的用戶信息。這個根鍵下Key_HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count下有五個值發生了變化。分別是

• HRZR_PGYFRFFVBA(REG_BINARY)
• P:\Hfref\Nqzvavfgengbe.CP-20170223YQRU\Qrfxgbc\evire.rkr(REG_BINARY)
• Zvpebfbsg.Jvaqbjf.Furyy.EhaQvnybt(REG_BINARY)
• pzq.rkr(REG_BINARY)
• FlfGenpre.rkr(REG_BINARY)

能夠看到修改了三個rkr文件，rkr文件就是windows下的exe文件，是微軟採起的順序加密算法加密的結果。並且這5個值都是REG_BINARY類型的。

1. Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Reliability Analysis\RAC 可靠性分析

2. Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles  聯網列表

3. Key_HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tencent\QQPCMgr\QMDL  騰訊的軟件

4. Key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control 系統控制

5. Key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services 系統服務

6. Key HKEY_USERS\QMConfig 
   Key HKEY_USERS\S-1-5-21-2845182390-1485456730-4082423690-500 配置

對比快照二和快照三，變化少了不少，只有兩個點：

1. Key HKEY_USERS\S-1-5-21-2845182390-1485456730-4082423690-500\Software\Microsoft\Windows\CurrentVersion\Explorer 

1. Key_HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 用戶幫助鍵

對比快照三和快照四，多了一些控制鍵的改變，畢竟截屏和控制鍵不要緊，而獲取擊鍵記錄就須要一些控制設置了。

用wireshark抓包分析一下呢。

能夠看到，個人控制端IP是192.168.226.129，靶機IP是192.168.226.135,首先是DHCP服務分配了靶機IP地址，而後是回連控制端，創建了TCP鏈接，以後我使用dir命令，查看了靶機的當前目錄，傳輸了不少數據過來，以下圖所示：

問題回答

3.1實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

監控的操做確定要跟惡意代碼的特徵行爲相關的啦，可是有一些惡意代碼共性的行爲，好比修改註冊表，鏈接遠程控制端等等，先監控這些共性特徵，再分析具體行爲後，再縮小監控範圍。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

已經肯定某個進程有問題以後，就須要利用各類惡意代碼分析工具了。好比systracer。

實驗總結與體會

此次實驗第一感受就是信息太多，特別考驗咱們的信息處理能力，特別是在分析註冊表修改的時候，一個點進去又會扯出不少問題，深入感受本身知識的缺少，不少內容看不懂，還須要繼續探究學習。