2018-2019-2 網絡對抗技術 20165317 Exp4 惡意代碼分析

2018-2019-2 網絡對抗技術 20165317 Exp4 惡意代碼分析

實驗要求

一、系統運行監控

  • 使用如計劃任務,每隔一分鐘記錄本身的電腦有哪些程序在聯網,鏈接的外部IP是哪裏。運行一段時間並分析該文件,綜述一下分析結果。
  • 安裝配置sysinternals裏的sysmon工具,設置合理的配置文件,監控本身主機的重點事可疑行爲。

二、惡意軟件分析

分析該軟件在(1)啓動回連,(2)安裝到目標機(3)及其餘任意操做時(如進程遷移或抓屏,重要是你感興趣)。該後門軟件chrome

(3)讀取、添加、刪除了哪些註冊表項shell

(4)讀取、添加、刪除了哪些文件windows

(5)鏈接了哪些外部IP,傳輸了什麼數據(抓包分析)網絡

實驗內容

一、系統運行監控

(1)使用schtasks指令監控系統(使用如計劃任務,每隔一分鐘記錄本身的電腦有哪些程序在聯網,鏈接的外部IP是哪裏。運行一段時間並分析該文件,綜述分析結果)

  • 使用schtasks /create /TN netstat5317 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令建立計劃任務netstat5317
    工具

    • TN是TaskName的縮寫,咱們建立的計劃任務名是netstat5317;
    • sc表示計時方式,咱們以分鐘計時填MINUTE;
    • TR=Task Run,要運行的指令是 netstat
    • bn,b表示顯示可執行文件名,n表示以數字來顯示IP和端口;
    • >表示輸出重定向,將輸出存放在c:\netstatlog.txt文件中
  • 在C盤中建立一個netstat5317.bat腳本文件,寫入如下內容 (能夠先創建文本文檔,再修改拓展名)
    date /t >> c:\netstat20165317.txt time /t >> c:\netstat20165317.txt netstat -bn >> c:\netstat20165317.txt
  • 打開任務計劃程序,能夠看到新建立的這個任務:
    性能

  • 雙擊這個任務,點擊操做並編輯,將「程序或腳本」改成咱們建立的netstat5317.bat批處理文件,肯定便可。
    網站

  • 條件選項卡中,取消勾選只有在計算機使用交流電源時才啓動此任務
  • 常規選項卡中,選擇無論用戶是否登錄都要運行,勾選不儲存密碼,並勾選使用最高權限運行
  • 執行此腳本必定時間,就能夠在netstat20165317.txt文件中查看到本機在該時間段內的聯網記錄:
    firefox

  • 使用Excel統計所收集的數據
    線程

(2)安裝配置sysinternals裏的sysmon工具,設置合理的配置文件,監控本身主機的重點事可疑行爲。

<Sysmon schemaversion="4.12">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">firefox.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include"> 
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>
  • 使用sysmon.exe -i sysmon20165317.xml安裝sysmon。

2.2惡意軟件分析

  • 右擊個人電腦->管理->事件查看器->應用程序和服務日誌->Microsoft->Windows->Sysmon->Operational。在這裏,咱們能夠看到按照配置文件的要求記錄的新事件,以及事件ID、任務類別、詳細信息等等
    設計

  • 打開kali,運行木馬文件,使其回連kali攻擊機。查看日誌,經過搜索關鍵字能夠找到相關的後門文件:

  • 從中能夠查看到端口號和目標主機。

使用VirusTotal分析惡意軟件

  • 把生成的惡意代碼放在VirusTotal進行分析,繼續使用後門進行實踐。

  • 從中能夠看出特徵碼MD五、sha-1等。

使用Process Monitor分析惡意軟件

  • Process Monitor是一款由 Sysinternals 公司開發的包含強大的監視和過濾功能的高級 Windows 監視工具,可實時顯示文件系統、註冊表、進程/線程的活動。
  • 打開軟件,能夠看出其對各個進程的詳細記錄:(圖中例子爲愛奇藝)

使用Process Explorer分析惡意軟件

Process Explorer是Windows系統和應用程序監視工具,包括Filemon(文件監視器)和Regmon(註冊表監視器),還有多項重要的加強功能。包括穩定性和性能改進、強大的過濾選項、修正的進程樹對話框(增長了進程存活時間圖表)、可根據點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows 上加載 32位 日誌文件的能力、監視映像(DLL和內核模式驅動程序)加載、系統引導時記錄全部操做等。

  • 下載process explorer
  • 靶機運行木馬,回連攻擊機時,咱們能夠看到Process Explorer對其進行的記錄:

使用PEiD分析惡意軟件

  • PEiD(PE Identifier)是一款著名的查殼工具,其功能強大,幾乎能夠偵測出全部的殼,其數量已超過470 種PE 文檔 的加殼類型和簽名。
  • 咱們取一個上次實驗生成的,沒有加殼的木馬,其檢測結果以下:

實驗後回答問題

(1)若是在工做中懷疑一臺主機上有惡意代碼,但只是猜測,全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些,用什麼方法來監控。

  • 使用windows自帶的schtasks指令設置一個計劃任務,每隔必定的時間對主機的聯網記錄等進行記錄。

  • 使用sysmon工具,經過配置想要監控的端口、註冊表信息、網絡鏈接等信息,記錄相關的日誌文件。

  • 利用wireshark查看數據包

(2)若是已經肯定是某個程序或進程有問題,你有什麼工具能夠進一步獲得它的哪些信息。

  • 使用Wireshark進行抓包分析

  • 使用systracer工具分析惡意軟件,進行快照的對比(註冊表、文件等).

  • 使用Process Explorer查看調用的程序庫

相關文章
相關標籤/搜索