20155218 《網絡對抗技術》 MAL_惡意代碼分析

20155218 《網絡對抗技術》 MAL_惡意代碼分析

實驗內容：

一、使用schtasks指令監控系統運行

• 一、在C盤下新建一個文本文檔，輸入一下內容後，改名爲netstatlog.bat

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 二、以管理員身份運行powershell或者cmd，並輸入指令

schtasks /create /TN netstat /sc MINUTE /MO 2 /ru "System" /TR "d:\netstatlog.bat"

其中，TN是TaskName的縮寫，咱們建立的計劃任務名是netstat5303；sc表示計時方式，咱們以分鐘計時填MINUTE；TR=Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口。

• 三、在netstatlog.txt中就能夠看到一些記錄

2018/04/13 週五 
17:49
請求的操做須要提高。
2018/04/13 週五 
17:49
請求的操做須要提高。
2018/04/13 週五 
17:51

活動鏈接

  協議  本地地址          外部地址        狀態
2018/04/13 週五 
17:52

活動鏈接

  協議  本地地址          外部地址        狀態
  TCP    192.168.1.107:49461    180.163.251.163:80     SYN_SENT
 [SoftupNotify.exe]
  TCP    192.168.1.107:49462    106.120.160.155:80     SYN_SENT
 [360tray.exe]
  TCP    192.168.1.107:49463    106.120.160.155:80     SYN_SENT
 [360tray.exe]
2018/04/13 週五 
17:53

活動鏈接

  協議  本地地址          外部地址        狀態
  TCP    192.168.1.107:49479    180.163.251.163:80     SYN_SENT
 [360tray.exe]
2018/04/13 週五 
17:54

活動鏈接

  協議  本地地址          外部地址        狀態
  TCP    192.168.1.107:49482    122.193.207.44:80      SYN_SENT
 [DgService.exe]
  TCP    192.168.1.107:49483    210.52.217.139:80      SYN_SENT
 [360tray.exe]
  TCP    192.168.1.107:49484    210.52.217.139:80      SYN_SENT
 [360tray.exe]
  TCP    192.168.1.107:49485    210.52.217.139:80      SYN_SENT
 [360tray.exe]
2018/04/13 週五 
17:55

用excel對schtasks獲得的數據進行分析

• 刪除重複的ip地址剩餘185個；
  

• 導入到whois查看ip
  

• 四、遇到的問題：
  （1）
  程序沒法執行，緣由就在於個人運行條件中的設置，須要使用電源才能執行，而我正好沒接電源。

二、使用sysmon工具監控系統運行

• 根據老師要求須要記錄一下三個事件：
  

• 一、 sysmon微軟Sysinternals套件中的一個工具，要使用sysmon工具先要配置文件

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 二、配置好文件以後，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝：
  
  出現小錯誤，可是可是按照提示作就能夠了；
• 三、在事件查看器裏查看相應的日誌：
  
• 四、對Sysmoncfg.txt配置文件進行修改，重點監視80和443端口的聯網狀況

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>    
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

prcess creation :使用netasta.exe程序來統計聯網信息的事件的創建。

process terminaled :使用netasta.exe程序來統計聯網信息的事件的終止。

network connection

三、使用systracer工具分析惡意軟件

使用systracer工具創建了4個狀態的快照

• 未放入病毒
• 注入病毒
• 運行病毒

• kali執行命令
  

  回連執行後，能夠程序打開的端口和handles信息：

四、使用火絨劍

-實現成功回連後，查看火絨劍的進程監控：

-查看其回連ip地址；

-查看其調用棧，而且能夠進行反彙編

-查看進程，能夠發現20155218.exe爲未知文件；

五、使用VirusTotal分析惡意軟件

• 把生成的惡意代碼放在VirusTotal進行分析：66個殺軟共有15個查出；
  
• 查看該惡意代碼的基本狀況：
• 該惡意代碼的算法庫支持狀況：

六、實驗問題回答

(1) 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

我會從一下方面：一、註冊表；二、系統服務；三、開機啓動項；四、文件建立；五、網絡鏈接狀況；六、鉤子；七、內核 進行監控，可使用systracer，sysmon,火絨劍等工具監控；

若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

我可使用wireshark查看其具體信息，好比用的什麼協議，回連ip是多少，也可使用火絨劍查看其調用的棧和其相關進程；

七、實驗總結與體會

這個實驗中，咱們要學習如何分析惡意代碼，從而知道如何設計惡意代碼，在分析惡意代碼的時候，有比較簡單的工具，但須要大量的分析總結，也有比較成熟的軟件，可以較快的查看到相關的信息。常在河邊走，哪有不溼鞋，常常弄這個惡意代碼，說不定哪天本身就被攻擊了（模糊的記得好像有個虛擬機與個人mac採用了無縫鏈接，有點慌），使用這些工具能夠監控本身的電腦，感受放心了很多。