2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析

1、实践目标

• 监控你本身系统的运行状态，看有没有可疑的程序在运行

• 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件

• 假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2、实践内容

---

2.1系统运行监控 （2分）

• 使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。

• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

2.2恶意软件分析 （1.5分）

• 启动回连，安装到目标机及其余任意操做时（如进程迁移或抓屏，重要是你感兴趣）该后门软件

• 读取、添加、删除了哪些注册表项

• 读取、添加、删除了哪些文件

• 链接了哪些外部IP，传输了什么数据（抓包分析）

---

3、实践过程

一、使用schtasks指令监控系统

• 使用schtasks /create /TN netstat5320 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令建立计划任务netstat5320，相关参数含义以下

  • TN : TaskName 任务名
  • sc ：计时方式
  • tr ： TaskRun 运行的指令
  • -bn：显示可执行的文件名、n表示数字和端口

• 运行结果如图所示：
  

• 在C盘中建立一个netstat5320.bat脚本文件，
  

• 输入如下内容：
  • date /t >> c:\netstat5320.txt
  • time /t >> c:\netstat5320.txt
  • netstat -bn >> c:\netstat5320.txt

• 打开任务计划程序，查看是否已经建立新任务
  

• 双击该任务，进行编辑操做，将“程序或脚本”改成上一步建立的netstat5320.bat批处理文件

• 修改该任务的条件选项卡中的只有计算机使用交流电时才启动此任务

• 执行脚本一段时间，在netstat5320.txt文件中查看到本机一段时间内的联网记录

• 按照教程：学姐的博客，将txt文件的数据导入Excel，按照TCP进行统计：
  

• 发现这一段时间内主要是我在使用浏览器进行上网，其它的软件都是一些比较重要的驱动程序，没用发现其它异样的软件。

• KillerServer为电脑的网卡驱动

• NVIDA为电脑的显卡驱动

• YoudaoNote为有道云笔记，用来写博客的

二、使用sysmon工具监测系统

• 首先进入Sysmon官网下载相关压缩包，进行解压

• 而后建立一个配置文件 Sysmon20165320.xml，进入Sysmon解压后的目录，使用Sysmon.exe -i .xml文件路径安装sysmon

• 若是出现对话框，选择agree

• 安装成功

• 修改配置文件，使用Sysmon.exe -c .xml文件路径，对配置文件进行更新

• <Sysmon schemaversion="4.20">
    <!-- Capture all hashes -->
    <HashAlgorithms>*</HashAlgorithms>
    <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
    <Signature condition="contains">microsoft</Signat    ure>
    <Signature condition="contains">windows</Signature>
    </DriverLoad>
  
    <NetworkConnect onmatch="exclude">
    <Image condition="end     with">chrome.exe</Image>
    <Image condition="end with">iexplorer.exe</Image>
    <Image condition="end with">firefox.exe</Image>
    <SourcePort condition="is">137</SourcePort>
    <SourceIp condition="is">127.0.0.1</SourceIp>
    <DestinationPort condition="is">80</DestinationPort>      
    <DestinationPort condition="is">443</DestinationPort>   
    </NetworkConnect>
  
    <CreateRemoteThread onmatch="include">
    <TargetImage condition="end with">explorer.exe</TargetImage>
    <TargetImage condition="end with">firefox.exe</TargetImage>
    <TargetImage condition="end with">svchost.exe</TargetImage>
    <TargetImage condition="end with">winlogon.exe</TargetImage>
    <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  
    <ProcessCreate onmatch="include">
    <Image condition="end with">chrome.exe</Image>
    <Image condition="end with">iexplorer.exe</Image>
    <Image condition="end with">firefox.exe</Image>
    </ProcessCreate>
  
    <FileCreateTime onmatch="exclude" >
    <Image condition="end with">firefox.exe</Image>   
    </FileCreateTime>
  
    <FileCreateTime onmatch="include" >
    <TargetFilename condition="end with">.tmp</TargetFilename>       
    <TargetFilename condition="end with">.exe</TargetFilename>  
    </FileCreateTime>
  
    </EventFiltering>
    </Sysmon>

• win10下，左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里，咱们能够看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等。

• 打开kali虚拟机，生成一个简单的后门程序，在win10主机运行该后门程序，而后查看相关日志

• 能经过查询功能找到后门运行时候的日志，猜想应该是在创建一个TCP链接，能看到相关的源IP，目的IP，还有相关的端口号。

三、使用VirusTotal分析恶意软件

• 将刚刚生成的一个简单的后门程序，放入VirusTotal官方网站上进行分析检查，能看到以下信息：

• 还能查看到该后门所须要的一些库文件

• 该文件的MD5值、SHA-1值、文件类型、文件大小等信息都能被检测出来，能够说分析得很透彻了（固然也多是由于生成的后门太简单，没什么创意）

四、使用PEiD分析恶意软件

• PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎能够侦测出全部的壳，其数量已超过470 种PE 文档 的加壳类型和签名。

• 首先拿刚刚生成的无壳后门放入该工具进行检测，检测结果以下：

• 而后在Kali生成一个加过UPX壳的后门，放入该工具进行检测，结果以下：

五、使用SysTracer工具进行快照对比

• 在win7里面运行SysTracer工具，截取四个快照

  • 彻底正常的主机

  • 木马后门植入后，主机注册表与文件信息

  • 运行木马程序，回连Kali主机

  • 对win7进行相关控制操做

• 对比1和2，主要发现桌面上多了后门程序

• 并且可以发现后门程序会用到Apache 的 HTTP通讯服务

• 对比2和3，能清楚的看到后门程序回连时候一些操做，以及所打开的一些目录，利用到的端口和IP等信息，并且增长、删除了许多.dll文件，有关注册表的键值也发生了变化

• 对比3和4，许多有关注册表中的变化信息查询不到，猜想应该是一些键值的变化。
  

六、使用Process Monitor分析恶意软件

• Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动。

• 打开该程序，找到后门进程，观察相关信息以下
  

• 点击能查看到详细的信息：

七、使用wireshark抓包分析恶意软件

• 使用wireshark软件在后门程序回连的时候捕获全部与Kali控制端传输的包，发现出现有TCP三次握手，以及一些利用TCP传输的数据包

• 因此猜想后门程序在回连的时候，应该首先与控制端主机经过TCP三次握手创建链接，相关的控制命令等做为有效数据被加入到TCP数据包发送到被控主机，而后被控主机读取相关数据，而后执行相应的操做。

4、实验后回答问题

• 若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

  答：一个是使用sysmon工具修改配置文件，记录相关日志文件，查找有关的日志，从中找到一些线索。二是使用schtasks，观察一段时间内主机的联网记录，看有没有可疑的软件偷偷上网。

• 若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

  答：将它扔到VirtualToatal上进行扫描分析，或者用sysTracer分析它的具体行为，相关信息。

5、实验心得

• 这一次实验让咱们去分析一些简单的后门程序，找它们的一些行为特征，并且利用了许多之前未曾据说过的软件，让咱们之后面对恶意软件可以有一套最简单的分析方法，也让咱们有了可以与之抗衡的资本，但在分析的过程当中仍是遇到了不少计算机基础知识不熟悉的问题，分析Sys快照的时候有关注册表的不少信息仍是看不懂，因此在以后的学习中要增强基础知识的学习。