Exp4 惡意代碼分析 20164309

時間 2019-11-12

標籤 exp4 exp 惡意代碼分析简体版

原文原文鏈接

實踐內容

1、系統運行監控

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

①使用計劃任務監控聯網狀況

以管理員身份運行命令提示符web

輸入 schtasks /create /TN 20164309netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt" chrome

其中TN是Task Name；SC:是SChedule type；MO是 MOdifier；TR:是Task Runshell

這裏有一些小小的問題，儘管咱們是以管理員身份運行的命令行提示符，可是在計劃中的權限仍是要手動改成最高權限，爲了記錄時間的準確性，還能夠將間隔時間改成1分鐘；若是直接使用學長學姐的代碼，會覆蓋原有的內容，因此在>的後面要多加一個>纔會輸出追加劇定向。工具

建立一個bat文件「netstatlog.bat」，內容爲:spa

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

本機不能直接編輯bat文件，而且不能直接在c盤根目錄中建立txt文件，我是先在d盤中建立txt文件，其中輸入內容再將後綴改成bat，再將文件剪切至c盤中。命令行

再進入計劃任務中建立任務「20164309 netstat1」，本任務的做用是經過記錄時間。統一標準，設置爲1分鐘運行一次。設計

一樣要以最高權限運行。3d

設置完畢以後能夠看到文件內容不只有數據還有時間了。日誌

②使用Excel數據透視表對收集的數據進行分析

使用自文本導入外部數據netstatlog.txtcode

使用分隔字符將文本導入嚮導

插入數據透視表

選取協議列進行分析

刪去沒必要要的二級字段，將一級字段拖入軸與值

將統計數據轉換成圖表

③將這些程序一一檢查，發現瞭如下幾個有問題：

1. [BrowserProtect99.exe]

2.[devenv.exe]

3.[GameBarPresenceWriter.exe]

4.DiagTrack

5.wlidsvc

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

①編寫配置文件

根據以前的數據收集編寫相應的配置文件20164309.xml

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">MicrosoftEdgeCP.exe</Image> 
      <Image condition="end with">QQ.exe</Image>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">MicrosoftEdgeCP.exe</Image> 
      <Image condition="end with">QQ.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>
      <DestinationPort condition="is">4309</DestinationPort>   
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">MicrosoftEdgeCP.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

輸入「sysmon64.exe -i 」安裝sysmon

輸入sysmon64.exe -c 20164309sysmonfig.xml，使用配置文件

發現使用的版本號錯誤，在xml中改成4.20

配置成功

②復現實驗二，使用後門進行回連

進入事件查看器

搜索4309端口有關的信息

能夠清楚地看到回連過程當中的各項信息

（2）惡意軟件分析

使用Systracer，對快照進行分析

我建立了五組快照，分別爲：

snapshot#1.不作操做

snapshot#2.使用ncat傳輸後門

snapshot#3.使用後門，進行鏈接

snapshot#4.使用dir指令查看文件

snapshot#5.使用webcam_snap進行拍照

因爲老師提供的systracer是未破解版本，最多隻能建立五次快照容錯率低，在我摸索快照使用時形成了必定的困擾，因此我下載了一個破解版進行試驗，但因爲破解版缺乏相應openhandle與openport部分的功能因此我結合兩個版本進行了實驗。同時我在實驗開始之時沒有理解快照的含義，片面地認爲操做必須在建立快照的時候進行，致使數據分析時產生了問題。

在此選取了狀況一些進行分析：

snapshot#1 與snapshot#2

最直觀地差別就是傳輸的成果——20164309_backdoor.exe

我是經過ncat傳輸後門的記錄快照時同時也使用了systracer，所以ncat、systracer註冊表都有了更改；

snapshot#2 與snapshot#3

註冊表中不少項被更改

查看端口能夠看到鏈接到虛擬機4309端口

snapshot#3 與snapshot#4

查看openhandle發現SearchFilterHost被頻繁使用，可能與搜索文件有關

snapshot#4 與snapshot#5

調用攝像頭時傳輸照片數據時可能對流量管理有了一些影響

使用wireshark進行抓包

經過抓包能夠看到通訊在kali端地址爲192.168.236.131端口爲4309與以太網適配器端（即主機端）192.168.236.131端口爲59132間進行，儘管只是進行了回彈與文件查詢，但數據傳輸進行了五百屢次，可見後門之因此這麼小還能實現這麼多功能並非因爲自己的功勞，更多的是對系統的調用。