2018-2019-2 網絡對抗技術 20165317 Exp4 惡意代碼分析

時間 2019-11-17

標籤網絡對抗技術 exp4 exp 惡意代碼分析欄目系統網絡简体版

原文原文鏈接

2018-2019-2 網絡對抗技術 20165317 Exp4 惡意代碼分析

實驗要求

一、系統運行監控

使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。
安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

二、惡意軟件分析

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件chrome

（3）讀取、添加、刪除了哪些註冊表項shell

（4）讀取、添加、刪除了哪些文件windows

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）網絡

實驗內容

一、系統運行監控

（1）使用schtasks指令監控系統（使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述分析結果）

使用schtasks /create /TN netstat5317 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令建立計劃任務netstat5317
工具
- TN是TaskName的縮寫，咱們建立的計劃任務名是netstat5317;
- sc表示計時方式，咱們以分鐘計時填MINUTE；
- TR=Task Run，要運行的指令是 netstat
- bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口;
- >表示輸出重定向，將輸出存放在c:\netstatlog.txt文件中
在C盤中建立一個netstat5317.bat腳本文件，寫入如下內容（能夠先創建文本文檔，再修改拓展名）
date /t >> c:\netstat20165317.txt time /t >> c:\netstat20165317.txt netstat -bn >> c:\netstat20165317.txt
打開任務計劃程序，能夠看到新建立的這個任務：
性能
雙擊這個任務，點擊操做並編輯，將「程序或腳本」改成咱們建立的netstat5317.bat批處理文件，肯定便可。
網站
在條件選項卡中，取消勾選只有在計算機使用交流電源時才啓動此任務；
在常規選項卡中，選擇無論用戶是否登錄都要運行，勾選不儲存密碼，並勾選使用最高權限運行；
執行此腳本必定時間，就能夠在netstat20165317.txt文件中查看到本機在該時間段內的聯網記錄：
firefox
使用Excel統計所收集的數據
線程

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

在Sysmon - Windows Sysinternals | Microsoft Docs網站中下載Sysmon軟件zip壓縮包，解壓到C盤下，並建立配置文件sysmon20165317.xml
在sysmon20165317.xml中輸入如下內容

<Sysmon schemaversion="4.12">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">firefox.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include"> 
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

使用sysmon.exe -i sysmon20165317.xml安裝sysmon。

2.2惡意軟件分析

右擊個人電腦->管理->事件查看器->應用程序和服務日誌->Microsoft->Windows->Sysmon->Operational。在這裏，咱們能夠看到按照配置文件的要求記錄的新事件，以及事件ID、任務類別、詳細信息等等
設計
打開kali，運行木馬文件，使其回連kali攻擊機。查看日誌，經過搜索關鍵字能夠找到相關的後門文件：
從中能夠查看到端口號和目標主機。

使用VirusTotal分析惡意軟件

把生成的惡意代碼放在VirusTotal進行分析，繼續使用後門進行實踐。

從中能夠看出特徵碼MD五、sha-1等。

使用Process Monitor分析惡意軟件

Process Monitor是一款由 Sysinternals 公司開發的包含強大的監視和過濾功能的高級 Windows 監視工具，可實時顯示文件系統、註冊表、進程/線程的活動。
打開軟件，能夠看出其對各個進程的詳細記錄：（圖中例子爲愛奇藝）

使用Process Explorer分析惡意軟件

Process Explorer是Windows系統和應用程序監視工具，包括Filemon（文件監視器）和Regmon（註冊表監視器），還有多項重要的加強功能。包括穩定性和性能改進、強大的過濾選項、修正的進程樹對話框（增長了進程存活時間圖表）、可根據點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows 上加載 32位日誌文件的能力、監視映像（DLL和內核模式驅動程序）加載、系統引導時記錄全部操做等。