20155207 《網絡對抗》exp4 惡意代碼分析 學習總結

20155207 《網絡對抗》 惡意代碼分析 學習總結

實踐目標

1.是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

2.是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

3.假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

實踐內容（3.5分）

1.系統運行監控（2分）

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

參考：schtask與sysmon應用指導

實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。

2.惡意軟件分析（1.5分）

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件

（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

實驗總結與體會

意外收穫

• 對比最後兩次快照時，有了意外收穫，最初是發現端口有變化，但是以爲奇怪，此時並無從新建立網絡鏈接，並且個人木馬也沒有用到80端口，怎麼可能80端口有變化
  p10

• 後來發現是百度雲在我沒有啓動它的時候本身在後臺幹一些小勾當，偷偷聯網，鑑於百度雲有自動備份的功能，我猜想他有可能在偷偷上傳我電腦裏新增的數據，好可怕，我並無讓他幫我備份啊。。。不再敢再電腦裏放不可告人的小祕密了。。。

  實踐過程記錄

  靜態分析

• 具體原理主要就是利用特徵碼進行檢測，可是根據上週的實驗結果看出，檢測能力不夠強，仍是須要對惡意代碼的行爲進行動態監測

  動態分析

  systracer

• 對靶機初始狀態保存快照Snapshot #1
  

• 傳輸後門文件並保存快照爲Snapshot #2
  

• 成功回連，保存快照Snapshot #3
  

• 對比2 3兩次快照，新增了進程文件還創立了網絡鏈接，這就很可疑了，暴露了木馬的通常行爲
  

• 得到靶機的shell,保存快照Snapshot #4
  

• 對比兩個快照，有新增的進程
  

wireshark

• 捕獲靶機與攻擊機之間的通信

• 使用wireshark進行抓包後能夠看到，其先進行了TCP的三次握手，以後再進行數據的傳輸，如圖所示，帶有PSH,ACK的包傳送的就是執行相關操做指令時所傳輸的數據包：
  

• 發現回連kali的一瞬間，靶機和攻擊機之間創建了好多通訊，分析其中一個數據包、
  

• 源IP是靶機IP，目的IP和Kali的IP並不一致，這是由於虛擬機進行網絡通信要經過NAT方式，要通過一個地址池隨機分配一個用於網絡鏈接的IP，這裏就是這個IP
• 目的端口就是咱們預先設計好的443端口

• 可是發現靶機用於網絡鏈接的端口一直在變，彷佛是不一樣的服務在用不一樣的端口？這裏不是很清楚

  TCPView

• 使用TCPView查看回連Kali先後的網絡鏈接狀況
  

• 後門程序開啓了7960端口，回連目標主機，又預設目標主機的監聽端口是443，因此假裝成了HTTPS鏈接

  使用netstat命令設置任務計劃，每隔一段時間反饋

• 建立任務，並新建觸發器

• 在C盤目錄下創建一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中，netstatlog.bat內容爲：

  date /t >> c:\netstatlog.txt
    time /t >> c:\netstatlog.txt
    netstat -bn >> c:\netstatlog.txt

• 而後打開Windows下命令提示符，輸入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令建立一個每隔兩分鐘記錄計算機聯網狀況的任務

• 建立完成後，我運行這個任務，發現netstatlog.txt並無顯示出網絡鏈接記錄信息，而是請求的操做須要提高。而後發現是本身沒有以管理員身份運行
  

Process Explorer

• 回連成功後，新增後門程序進程
  

• 運行後門程序，界面上就會出現它的基本信息。

• 查看並分析具體信息
• 和遠程攻擊機創建鏈接
• 還能夠用Process Explorer查看建立進程的程序信息和進程相關信息

• 其調用的ntdll庫，ntdll.dll是重要的Windows NT內核級文件。描述了windows本地NTAPI的接口。當Windows啓動時，ntdll.dll就駐留在內存中特定的寫保護區域，使別的程序沒法佔用這個內存區域。

Process Monitor

• 回連成功後，出現了不少Explorer.exe相關的進程
  

• Explorer.exe是Windows程序管理器或資源管理器，猜想應該是木馬運行假裝成了系統固有文件的執行

  sysmon

• 在Sysmon.exe同目錄下創建文件：test.txt，並輸入老師指導書中給的XML

• 管理員身份運行CMD，輸入指令：Sysmon.exe -i test.xml，進行安裝
  

• sysmon啓動

• 查看事件ID爲1的一個進程
  

• 查看個人日誌的時候，發現有一個ID爲1的事件顯示錯誤