2018-2019 20165237網絡對抗 Exp4 惡意代碼分析

2018-2019 20165237網絡對抗 Exp4 惡意代碼分析

---

實驗目標

• 1.1是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

• 1.2是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

• 1.3假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

---

Exp 4.1

1、系統運行監控——計劃任務

• 建立計劃任務，使系統每1分鐘自動檢測到有哪些程序在鏈接咱們的網絡。

• TN：Task Name，本例中是netstat
• SC: SChedule type,本例中是MINUTE,以分鐘來計時
• MO: MOdifier
• TR: Task Run，要運行的指令是 netstat
• -bn，b表示顯示可執行文件名，n表示以數字來顯示IP和端口

C:\schtasks /create /TN netstat5237 /sc MINUTE /MO 1/TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 由於C盤沒法直接建立文件的緣由，我就在桌面先建立了txt文件，隨後再複製到C盤中。

在netstatlog.txt中輸入如下內容：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 任務計劃程序->netstat5237->屬性->操做(必定要將常規中使用最高權限運行勾上！)，接着以下設置：
  

• 大約過了好久，打開C盤中的netstat5237.txt，會發現文件中多了成千上萬行字：
  

• 將netstat5237.txt導入WPS的數據表格中，和Excel的步驟同樣，數據->導入數據->選擇數據源,接着設置以下：
  
  
  
  

• 大功告成，數據導入成功：
  

• 首先查看全部聯網程序的聯網次數，選中咱們要分析的列，
  點擊上方「插入」->「數據透視圖」
  默認選擇在一個新工做表中生成
  

• 在右側「選擇要添加到報表的字段」中點擊對應字段右側的小箭頭->取消選擇那些沒有意義的字段，而後點擊「肯定」，並將該字段拖動到下方的「軸字段」和「數值」兩個區域中
  

• 而後就能夠看到咱們的統計圖進行分析
  

• 能夠看到，第一多的是TCP，其次是qbclient.exe和wps.exe，qbclient是我所用的遊戲加速器（其實我是忘記關了。。。），另一個是wps軟件，我想可能個人電腦目前是安全的吧。

2、系統運行監控——利用Sysmon

• 寫配置文件20165237monconfig.exe,並老辦法放到C盤中

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 安裝sysmon：以管理員身份執行命令sysmon.exe -i C:\20165237monconfig.txt
  

• 成功啓動：
  

• 在事件查看器裏查看日誌；「事件查看器」->應用程序和服務日誌/Microsoft/Windows/Sysmon/Operational
  

• 這裏我選擇了本身實驗二中生成的後門20165237.exe進行分析，進行回連：
  

• 使用getpid指令找到進程號11812
  

• 在事件查看器中經過進程號找到這個進程
  

---

Exp 4.2

1、惡意軟件分析-viru totals

• 在viru totals網站上查看上次實驗檢查所作的後門程序。結果（包括MD5 SHA-1 Hash的值）以下：
  

2、惡意軟件分析——Systracer

• 下載安裝Systracer->
  下載完成->運行->agree->選第二個->設置監聽端口號->安裝完成:
  

• 我主要進行2次快照，一次是回連前，一次是回連並執行dir命令：
  
  
  

• 點擊上方「Applications」->左側「Running Processes」->找到後門進程「20165237.exe」->點擊「Opened Ports」查看回連地址、遠程地址和端口號：
  

• 在快照界面「Snapshots」右下角點擊「Compare」，比對一下回連先後計算機發生的變化,這裏能夠選擇only difference：
  

3、Wireshark進行抓包分析：

• 選擇對VMnet8網絡捕捉。在回連以前，開始捕獲；回連完成後結束捕獲，並把過濾規則設置爲ip.addr == 192.168.153.135：
  

不難看出，這裏回連時使用的是TCP三次握手，接下來的數據傳輸也是經過TCP協議來完成。

---

實驗中遇到的問題及解決方法

• 實話實說，此次的實驗第一步就把我困住了。個人netstat。txt只有時間和日期，卻沒有網絡內容。我嘗試了不少辦法（管理員權限啓動CMD.EXE，換個盤存放20165237.bat，改配置內容），最後仍是要感謝陳厚康同窗幫我解決這個難題將事件屬性的常規中勾上最高權限運行（看看回收站就知道了。。哎）。
  
  

---

實驗感想和問題

• 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控

  答：能夠設置用schtasks設置計劃任務，讓它天天定時檢測並輸出網絡通話的數據，再經過分析使用量和內容來判斷是否有惡意代碼。

• 若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息

  答：經過viru totals掃描內容，再用殺毒軟件對其分析。

• 感想：此次實驗難度不大，可是須要注意的細節不少，經過網絡抓包來分析電腦中的惡意軟件或惡意程序，監控、發現惡意攻擊，也複習了抓包軟件的使用。（其實在第一步就卡住了很長時間的我，早就已經崩潰了。。。）