惡意代碼安全攻防

---

第九章、惡意代碼安全攻防

第十章、緩衝區溢出

---

Rootkit的定義

• 一類隱藏性惡意代碼形態，經過修改現有的操做系統軟件，使 攻擊者得到訪問權並隱藏在計算機中。
• Rootkit與特洛伊木馬、後門
• Rootkit也可被視爲特洛伊木馬
• 獲取目標操做系統上的程序或內核代碼，用惡意版本替換 它們
• Rootkit每每也和後門聯繫在一塊兒
• 植入Rootkit目的是爲攻擊者提供一個隱蔽性的後門訪問
• 定義特性：隱藏性
• Rootkit分類: 用戶模式、內核模式

---

分析一個自制惡意代碼樣本

• 1.提供對這個二進制文件的摘要，包括能夠幫助識別同同樣本的基本信息。
• 2.找出並解釋這個二進制文件的目的。
• 3.識別並說明這個二進制文件所具備的不一樣特性。
• 4.識別並解釋這個二進制文件中所採用的防止被分析或逆向工程的技術。
• 5.對這個惡意代碼樣本進行分類（病毒、蠕蟲等），並給出你的理由。
• 6.給出過去已有的具備類似功能的其餘工具。
• 獎勵問題：
• 7.可能調查出這個二進制文件的開發做者嗎？若是能夠，在什麼樣的環境和什麼樣的限定條件下？

準備工做

1確認文件完整性

2確認二進制文件格式

這裏看出他是圖像界面的

3取得文件中的可打印字符串

亂碼，能夠猜想是加殼了

4使用監控軟件process explorer與wireshark

5反彙編工具PEID分析，這裏能夠看到文件的入口點、偏移、文件類型、EP段、彙編程序以及加殼類型。

能夠看到其加殼類型

六、利用超級巡警自動脫殼工具脫殼

七、再次查看是否脫殼成功

能夠看到產生大量函數調用名及其餘有用字符串，能夠從中尋找有用的信息。

八、進一步使用IDA分析

解答:

問題1解答

樣本摘要及基本信息

1. 大小：20,992字節
2. MD5: md5sum計算 caaa6985a43225a0b3add54f44a0d4c7
   
3. PE文件格式 運行在Windows 2000, XP and 2003及以上 版的操做系統中
4. UPX加殼並進行了殼假裝處理

• UPX段更名爲JDR
• 版本號從1.25改成0.99

問題2解答

找出並解釋這個二進制文件的目的

• 後門工具 -> HTTP Bot?
• 可以使遠程的攻擊者徹底地控制系統
• 它採用的通訊方式使得只要系統可以經過瀏覽器上網，就可以得到來自攻擊者的指令。

備註

網絡行爲
經過HTTP協議請求10.10.10.10\RaDa\RaDa_commands.html
行爲解讀
將自身複製至感染主機系統盤，並激活自啓動
嘗試獲取一個HTML頁面‖commands‖ 猜想是否後門接收控制指令？

問題3解答

識別並說明這個二進制文件所具備的不一樣特性

RaDa.exe被執行時，它會將自身安裝到系統中，並經過修改註冊表的方式使得每次系統啓動，它都可以被啓動，啓動後循環執 行一下操做：

• ⑴從指定的web服務器請求指定的web頁面；
• ⑵解析得到的web頁面，獲取其中的指令
• ⑶執行解析出來的指令
• ⑷等待一段時間
• ⑸返回第⑴步

啓動後，RaDa一直在後臺運行，不會彈出任何窗口。它支持如下指令：

• exe 在宿主主機中執行指定的命令
• put 將宿主主機中的指定文件上傳到服務器
• get 將服務器中的指定文件下載到宿主主機中
• screenshot 截取宿主主機的屏幕並保存到tmp文件夾
• sleep 中止活動一段時間

默默運行在後臺，會按期給IP爲10.10.10.10發出連接請求

問題4解答

識別並說明這個二進制文件所採用通信方法

• 經過HTTP協議進行通訊，RaDa經過調用隱藏的IE實例向web服務器發送請求，獲取命令。
• Snort規則

alert tcp any any -> any $HTTP_PORTS (msg:"RaDa Activity Detected - Commands Request"; flow:to_server,established;  
content:"GET /RaDa/RaDa_commands.html"; depth:30; classtype:trojan-activity; sid:1000001; rev:1;)  
alert tcp any $HTTP_PORTS -> any any (msg:―RaDa Activity Detected - Commands Page‖; flow:from_server,established; 
content:―NAME=exe‖; nocase; depth:1024; classtype:trojan-activity; sid:1000003; rev:1;)  alert tcp any any -> any $HTTP_PORTS (msg:"RaDa Activity Detected - Multipart Message"; flow:to_server,established; 
content:"boundary=--------------------------0123456789012"; depth:1024; classtype:trojan-activity; sid:1000004; rev:1;)

問題5解答

識別並解釋這個二進制文件中所採用的防止被分析或逆向工程的技術

• ⑴、這個二進制文件使用UPX加殼以後又作了手工修改，使得難以脫殼，而不脫殼又會影響反彙編。

• ⑵、脫殼以後，能夠在文件中找到字符串「Starting DDoS Smurf remote attack.」這會使分析者誤覺得樣本能夠發動DDos攻擊，而實際上它沒有提供任何用以發動DDos攻擊的子程序。
• ⑶、提供了—help參數，可是使用這個參數以後，除了輸出版權信息外並無提供其餘有用的信息。--verbose參數也沒有什麼用處， GUI窗口中的「Show config」及「Show usage」也顯示與— help參數相同的信息。

• ⑷、經過查看網卡的MAC地址以及查看VMware Tools的註冊表項來判斷操做系統是否運行在VMware虛擬機上，若是是，則使用— authors參數時將不會輸出做者信息。

問題六、7解答

對這個惡意代碼樣本進行分類（病毒、蠕蟲等），並給出你的理由

• 這是一個後門程序，運行並按照攻擊者命令進行工做；若是是多對1控制，則可認爲是HTTP Bot
• 這個樣本不具備傳播和感染的性質，因此它不屬於病毒和蠕蟲

• 它也沒有將本身假裝成有用的程序以欺騙用戶運行，因此他也不屬於木馬

• 給出過去已有的具備類似功能的其餘工具

  • Bobax – 2004年發現的木馬，也是使用HTTP協議從指定的服務器下載命令文件，而後解析並執行其中的指令。Setiri及其前輩GatSlag

問題9解答-bonus

可能調查出這個二進制文件的開發做者嗎？ 若是能夠，在什麼樣的環境和什麼樣的限定 條件下？

• 能夠直接從脫殼後的二進制程序中直接獲取

• 利用監視工具process explorer 能夠查看結構信息，能夠看出copyright （C）2004 baul siles &david perez