2018-2019-2 《網絡對抗技術》Exp4 惡意代碼分析 Week6 20165311

2018-2019 20165311 網絡對抗 Exp4 惡意代碼分析

2018-2019 20165311 網絡對抗 Exp4 惡意代碼分析

• 實驗內容
  • 系統運行監控（2分）
  • 惡意軟件分析（1.5分）
  • 報告評分（1分）
• 基礎問題回答
• 實驗過程
  
  • 1. 系統運行監控——計劃任務
  • 2. 系統運行監控——利用Sysmon
  • 3. 惡意軟件分析—— virscan網站
  • 4. 惡意軟件分析——PEID
  • 5. 惡意軟件分析——Systracer
• 實驗中遇到的問題及解決方法
• 實驗感想

---

 

基礎問題回答

1. 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控

• 使用Windows自帶的schtasks指令設置一個計劃任務，指定每隔必定時間記錄主機的聯網記錄或者是端口開放、註冊表信息等；
• 經過sysmon工具，配置好想記錄事件的文件，以後在事件查看器裏找到相關日誌文件查看；
• 使用任務管理器->進程，監視進程執行狀況，查看是否有可疑程序運行。

2. 若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息

• 使用systracer工具分析惡意軟件,進行快照的對比.
• virscan集合各類殺軟，對指定文件進行分析定性。
• 使用Wireshark進行抓包分析，監視其與主機進行的通訊過程。

返回

---

 

實驗內容

系統運行監控（2分）

• 使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。
• 安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。
  
  參考：schtask與sysmon應用指導
  
  實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。

惡意軟件分析（1.5分）

• 分析該軟件在(1)啓動回連(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。
• 該後門軟件
  • 讀取、添加、刪除了哪些註冊表項
  • 讀取、添加、刪除了哪些文件
  • 鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

該實驗重點在「分析」，不是「如何使用某軟件」。組長、課題負責人要求寫細一點，其餘人能夠重點放在分析上。

報告評分（1分）

返回

 

---

實踐過程

一、windows計劃任務

• 以管理員身份打開cmd，使用指令```schtasks /create /TN 5311netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt建立計劃任務5311netstat，記錄每1分鐘計算機聯網狀況：
• 在c盤下手動建立一個netstatlog.txt文件

• 在桌面創建一個20165311netstatlog.txt文件，內容爲：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 將後綴名改成.bat後，用管理員身份將該文件放入C盤

• 打開計算機管理的「任務計劃程序庫」，能夠查看到5311netstat任務就緒，打開其屬性，修改其指令爲20165311netstatlog.bat

• 在屬性中「常規」一欄最下面勾選「使用最高權限運行」，否則程序不會自動運行

• 在屬性中「條件」這一選項中的「電源」一欄中，取消勾選「只有計算機使用交流電源才啓動此任務」，防止電腦一斷電任務就中止

• 能夠在C盤的netstat5311.txt文件中查看到本機在該時間段內的聯網記錄：

• 等待一段時間，將存儲的數據經過excel表進行整理

分析：

首先咱們能夠看到BtvStack.exe是最多的，其次是「chrome.exe」和「Explorer.exe」。當啓動谷歌瀏覽器時前者就會出如今任務管理器中，關閉任務管理器後會自動退出。

這裏咱們還能夠找到、虛擬機、後門程序20165311_backdoor.exe這些連網的進程。

返回

---

二、使用sysmon工具

• 首先建立配置文件sysmon5311.txt，並輸入以下的代碼：

<Sysmon schemaversion="4.20">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include"> 
      <DestinationPort condition="is">5311</DestinationPort>     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 在官網上下載sysmon工具
• 以管理員身份打開命令行，使用指令Sysmon.exe -i C:\sysmon5311.txt安裝sysmon

• 安裝成功以後在事件查看器中的應用程序和服務日誌下，查看Microsoft->Windows->Sysmon->Operational。
• 在這裏，咱們能夠看到按照配置文件的要求記錄的新事件，以及事件ID、任務類別、詳細信息等等。

利用Sysmon具體分析日誌

這裏我選擇了本身實驗二中生成的後門20165311_backdoor.exe進行分析

• 啓動回連、安裝到目標主機。

• 輸入getpid 查詢進行數據篩選

• 在服務日誌中發現了後門程序的痕跡

返回

---

惡意軟件分析

（1） 文件掃描（VirScan工具）

• 使用在線VirusScan工具對上次實驗中生成的.jar文件進行掃描

• 點擊 哈勃文件 分析查看詳細分析結果：

總結：
此惡意代碼主要就是經過創建一個反彈鏈接，受害機一旦運行該程序，攻擊機就會自動獲取該受害機的控制權限，

並在受害機中建立進程、修改刪除文件、建立事件對象等等，對受害機形成很大的威脅。

返回

---

 

（2）文件格式識別（peid工具）

• 下載Peid工具，對上次實驗中用Veil生成的加殼的後門程序進行查殼

• 換第二次實驗生成的後門進行檢測，顯示什麼都沒找到

返回

---

快照比對（SysTracer工具）

• 下載SysTracer工具
• 點擊右側的take snapshot，存儲快照
  • 快照一：未移植後門程序
  • 快照二：移植後門程序
  • 快照三：運行後門程序並在kali中實現回連
  • 快照四：在kali中使用dir指令
  • 快照五：在kali中使用record_mic指令

• 經過右下角的View Differences Lists比對各快照，進行分析
• 快照一和快照二：發現增長了個人後門程序

• 快照二和快照三：發現了個人後門程序正在運行的進程

• 快照三和快照四：增長了不少TCP鏈接，應該是爲了獲取windows的目錄因此發出了TCP鏈接請求

• 快照四和快照五：刪除了快照四中創建的TCP鏈接，建立了新的TCP鏈接，應該是爲了發出錄音功能請求

返回

---

 

實驗中遇到的問題

任務一中打開 netstat5311.txt 時，顯示「請求的操做須要提高」

經過百度找到了解決辦法，只要在代碼前插入便可（自動以管理員權限運行）

@echo off
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
if '%errorlevel%' NEQ '0' (goto UACPrompt) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"

---

實驗感想

本次實驗的重點在分析惡意代碼。咱們學習使用了數款用於檢測惡意代碼的指令或是軟件，例如SysTracer、Sysmon等工具。

經過學習瞭解到，惡意代碼的分析方法主要分爲靜態分析方法和動態分析方法。這兩種方法在本次實驗中都有所涉及。

咱們要時常對電腦的行爲進行監控，不能只依靠殺毒軟件，殺毒軟件不是百分之百安全的。

返回