2018-2019-2 20165330《网络对抗技术》Exp4 恶意代码分析

时间 2019-11-14

标签网络对抗技术 exp4 exp 恶意代码分析栏目系统网络繁體版

原文原文链接

实验目的

监控你本身系统的运行状态，看有没有可疑的程序在运行
分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件
假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质

返回目录html

实验内容

系统运行监控
- 使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包
- 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为
恶意软件分析
- 分析该软件在启动回连，安装到目标机及其余任意操做时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件——
  - 读取、添加、删除了哪些注册表项
  - 读取、添加、删除了哪些文件
  - 链接了哪些外部IP，传输了什么数据（抓包分析）

返回目录node

基础问题

若是在工做中怀疑一台主机上有恶意代码，但只是猜测，因此想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。linux
- 利用Windows计划任务netstat，按期查看并分析网络链接状况
- 可利用sysmon工具，配置好想要监控的端口、注册表信息、网络链接等信息，经过其生成的日志文件进行查看
- 利用wireshark查看数据包,分析数据流
- 使用Process Explorer工具，监视进程执行状况
若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。git
- 利用wireshark查看数据包，查找能够数据链接
- 利用systracer进行快照的对比（注册表、文件等）

返回目录web

实验步骤

系统运行监控

（1）使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。

使用schtasks指令监控系统
使用schtasks /create /TN netstat5330 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5330.txt"命令建立计划任务netstat5330
windows

其中，TN是TaskName的缩写，这里计划任务名是netstat5330；sc表示计时方式，以分钟计时填MINUTE；TR=Task Run，要运行的指令是netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口。api
在C盘要目录下建一个文件c:\netstat5330.bat（能够先在桌面新建txt文本文件，使用记事本写入后在修改后缀为.bat，复制到C盘中），写入内容以下：
```
date /t >> c:\netstat5330.txt
 time /t >> c:\netstat5330.txt
 netstat -bn >> c:\netstat5330.txt
```
在左下角Windows处右键打开计算机管理-任务计划程序，能够看到咱们新建立的任务：
双击这个任务，点击操做-编辑，将其中的程序或脚本改成咱们建立的netstat5330.bat批处理文件，参数可选项为空，点击肯定。（注意看这里：必定要勾选使用最高权限运行，不然可能致使文件不能自主更新或者记录里出现权限问题）
还可在条件中设置其余属性，在电源这里默认操做为只有在计算机使用交流电源时才启动此任务，那么使用电池电源时就会中止任务，因此若保持默认注意电脑保持开机联网状态！
在计算机管理界面对该任务右键点击运行，可在netstat5330.bat目录下看到一个txt文本文件，打开就可看到每隔一分钟被输到这里的联网数据。
如今咱们等待一段时间，让记录项目足够多了咱们用excel来进行分析
打开Excel表格，选择数据-获取外部数据-自文本，在数据类型中选择分隔符号
点击下一步，标记全部分隔符号，点击完成
就能够看到txt文档中同样的信息，而后选择咱们要分析的那一列
选择插入-数据透视图，并默认位置新表格，点击肯定
在字段中去除不须要的字段（注意去掉TCP）
将该字段拖动到下方的轴和值两个区域中
就能够清晰的看到联网信息的统计图了
- 由上图咱们能够发现以前实验所生成的后门程序20165330_backdoor.exe，经过查询他的链接数据，发现他所连IP都显示为[::1]:8307类，通过查询::1表明的是ipv6的本机地址，也就是ipv4的127.0.0.1，在查找相关进程在VM有关进程发现vmware-authd.exe（它是虚拟机的受权服务）所连外部IP就是个人kali的IP地址和后门设置的端口，这应该就是后门和个人主机进行通信的一个通道吧。。
- 链接最多的就是QQBrowser.exe，这个是QQ浏览器对应的进程，没什么可疑的。
- 再来看看SearchUI.exe，这个原来是win10所带的Cortana小娜的进程，查了它的两个链接的外部IP，一个显示是上海市腾讯云，一个是在美国（这大概是微软的吧。）
- 其余的都是电脑上所下的软件360、有道云还有office及一些系统服务的，没有可疑部分。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

Sysmon是微软Sysinternals套件中的一个工具。能够监控几乎全部的重要操做，参考使用轻量级工具Sysmon监视你的系统开始咱们的使用。

① 基本操做

肯定要监控的目标：在这里我选择进程建立、进程建立时间、网络链接、远程线程建立
写配置文件
- 相关事件过滤器选项在这可看到，进程建立ProcessCreate我用到了Image、SourceIp、SourcePort，进程建立时间FileCreateTime我用到了Image，网络链接NetworkConnect我用了Image、SourceIp、SourcePort，远程线程建立CreateRemoteThread我用了TargetImage、SourceImage
- 开始写与本身想要监控的事件相对应的配置文件，命名为20165330Sysmoncfig.txt，内容以下：（配置文件是xml文件，为了简单编辑就直接命令为.txt，每次用写字本打开。）
```
<Sysmon schemaversion="3.10">
   
   <HashAlgorithms>*</HashAlgorithms>
   <EventFiltering>
     
     
     <ProcessCreate onmatch="exclude">     
       <Image condition="end with">QQBrowser.exe</Image> 
     </ProcessCreate>

     <FileCreateTime onmatch="exclude" >
       <Image condition="end with">QQBrowser.exe</Image>
     </FileCreateTime>

     <NetworkConnect onmatch="exclude">
       <Image condition="end with">QQBrowser.exe</Image>
       <SourcePort condition="is">137</SourcePort>
       <SourceIp condition="is">127.0.0.1</SourceIp>
     </NetworkConnect>
     <NetworkConnect onmatch="include">     
       <DestinationPort condition="is">80</DestinationPort>      
       <DestinationPort condition="is">443</DestinationPort>    
     </NetworkConnect>

     <CreateRemoteThread onmatch="include">
       <TargetImage condition="end with">explorer.exe</TargetImage>
       <TargetImage condition="end with">svchost.exe</TargetImage>
       <TargetImage condition="end with">winlogon.exe</TargetImage>
       <SourceImage condition="end with">powershell.exe</SourceImage>
     </CreateRemoteThread>
   </EventFiltering>
</Sysmon>
```
  - exclude至关于白名单，不用记录。include至关于黑名单
  - Image condition根据本身使用的浏览器更改，如谷歌浏览器是“chrome.exe”，IE浏览器是“iexplore.exe”，我用的是QQ浏览器则更改成“QQBrowser.exe”(可在上面的netstat5330.txt中找到进程名称)，写在exclude中就是不记录由QQ浏览器建立的进程。
  - 进程建立时间相似，也是不建立浏览器建立进程的时间。
  - 网络链接过滤掉了浏览器的网络链接、源IP为127.0.0.1的网络链接和目的端口为137的链接服务，且查看目的端口为80（http）和443（https）的网络链接。（137端口的主要做用是在局域网中提供计算机的名字或IP地址查询服务，通常安装了NetBIOS协议后，该端口会自动处于开放状态。127.0.0.1表示本机IP。）
  - 远程线程建立记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程。
  - explorer.exe是Windows程序管理器或者文件资源管理器
  - svchost.exe是一个属于微软Windows操做系统的系统程序，是从动态连接库 (DLL) 中运行的服务的通用主机进程名称。
  - winlogon.exe是Windows NT 用户登录程序，用于管理用户登陆和退出。
  - powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境，二者既能够独立使用也能够组合使用。
将配置文件放在C盘中

② 启动sysmon

下载老师给的安装包并解压：SysinternalsSuite201608
右键点击左下角Windows标志，打开Windows PowerShell(管理员)进入管理员命令行，先cd进入工具目录，在安装sysmon：.\Sysmon.exe -i C:\20165330Sysmoncfig.txt（由于按老师的指令报错我将指令改成如上才成功执行）
弹出窗口点击Agree，安装成功以下图
若是修改了配置文件，要运行指令：.\Sysmon.exe -c C:\20165330Sysmoncfig.txt来更新
输入.\Sysmon.exe -i命令启动sysmon

③ 使用sysmon

左下角右键Windows标志，找到事件查看器，在应用程序和服务日志-Microsoft-Windows-Sysmon-Operational能够看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等
分析实验二生成的后门程序20165330_backdoor.exe，按步骤执行到回连
在点击Sysmon-Operational刷新记录，在12:36:34找到运行后门文件20165330_backdoor.exe相对应的日志以下
此时咱们还能够看到有360安全的记录日志，在运行时后门程序会被拦截，就会启动这里的360RealPro.exe，这是360的实时保护进程名，后续还运行了其余一些可执行文件，如360sctblist.exe、360sclog.exe。
Linux执行shell获取cmd
- 在13:11左右我获取了shell，在事件管理器中，发现C:\Windows\SysWOW64\cmd.exe这样一个进程，其显示目录在后门程序目录下，很显然与后门程序相关
  
  SysWOW64能够在64bit的Windows中运行32bit的程序，而Windows下的cmd.exe是64bit的，kali回连获取的windows的cmd程序是32位的
- 咱们在输入dir获取目录下信息，发现了一个被运行的的进程svchost.exe
  
  Svchost.exe是微软视窗操做系统里的一个系统进程，管理经过Dll文件启动服务的其它进程，一些病毒木马假装成系统dll文件经过Svchost调用它，试图隐藏本身。每一个svchost能够同时调用多个dll文件，启动多个服务。
- 咱们在输入webcam_snap获取摄像头，一样也发现了Svchost.exe这个进程。

恶意软件分析

静态分析

① 使用VirusTotal分析恶意软件

将exp3中生成的加壳后门在VirusTotal进行扫描

可疑程度至关高。。
查看这个恶意代码的基本属性：能够看出它的SHA-一、MD5摘要值、文件类型、文件大小，以及TRiD文件类型识别结果
算法库支持
加壳状况

② 使用PEiD进行外壳检测

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎能够侦测出全部的壳，其数量已超过470 种PE 文档的加壳类型和签名

虚拟机win7中下载后点.exe安装（别安装捆绑软件！）
选择.exe文件路径或直接把.exe文件拖到里面，能够看到所加壳upx版本为0.89.6
点击右下角>>查看详细信息
若没有加壳则显示
PEiD还可进行脱壳
- 下面是通用脱壳器
- 还有专门针对一些壳进行脱壳

③ 使用PE explorer查看PE文件头中包含代码信息

PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源

虚拟机win7中下载并安装
打开后门程序20165330_backdoor.exe
查看程序头部信息
试图-数据目录查看程序静态数据目录
试图-节头查看节头信息
工具-反汇编器进行反汇编
退出后点击导入查看所引用的dll库，分析得知
- msvcrt.dll是微软在windows操做系统中提供的C语言运行库执行文件
- kernel32.dll属于内核级文件,它控制着系统的内存管理、数据的输入输出操做和中断处理，是必需的
- advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关，会受到病毒的侵扰及篡改，致使系统文件丢失、损坏
- wsock32.dll是Windows Sockets应用程序接口，用于支持不少Internet和网络应用程序,是一个对系统很关键或很可疑的文件，易遭受木马病毒（如“犇牛”病毒）破坏致使系统找不到此文件，出现错误提示框。
- ws2_32.dll是Windows Sockets应用程序接口。一些病毒会在杀毒软件目录中创建伪"ws2_32.dll"的文件或文件夹,在杀毒软件看来这是程序运行须要的文件而调用，这个所谓的“文件”又不具有系统"ws2_32.dll"文件的功能，因此杀毒软件等就没法运行了而提示：应用程序正常初始化失败。

动态分析

① 使用SysTracer分析后门软件的运行过程

SysTracer是一款能够分析你的计算机文件,文件夹和注册表项目改变的系统实用工具。你能够在任何想要的时间获取无数个屏幕快照，比较任何一对想要的屏幕快照,而且观察其间的不一样之处。获取屏幕快照一般会持续几分钟的时间,这取决于文件和文件夹的数量和注册表项目的总数。

最好用两台虚拟机：kali和win7
下载SysTracer
进入安装选择第二个，next设置端口为5330（后门生成时利用的端口），安装完成后进入界面
打开后门前先点击take snapshot（建立快照），接着Start
建立过程长短视当前系统体量而定，建立好后默认名称为Snapshot #1
开启后门程序回连kali（停在获取命令的那一刻），此时建立第二个快照Snapshot #2
而后kali中输入一个ls命令，此时建立第三个快照Snapshot #3
输入screenshot命令抓屏，此时建立第四个快照Snapshot #4
点击右下角compare将快照之间进行比较，在Registry可看到注册表的变化（蓝色部分为有变化的）
咱们按住ctrl键，选择#1和#2进行比较：能够发如今启动回连时的变化
- 注册表变化
- 端口变化
- 新增了一些dll文件
比较#2和#3：能够看到在获取win7的cmd命令在Wow3264node这个注册表发生了变化（它是计算机专门给32位系统访问的）在上一个软件分析中咱们可知kali获取的cmd是32位的，它访问64位的qin7并获取命令，就会再次发生变化。
- 查看opened handles（打开的句柄）来对比他们都作了什么
比较#1和#4能够发如今进行截屏时，也修改了不少dll文件
- 对其余注册表咱们会发现SysTracer没有办法查看，只能知道这部分作了修改
- 关于HKEY_LOCAL_MACHINE：它保存了注册表里的全部与这台计算机有关的配置信息
- 关于HKEY_CURRENT_USER：它管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登陆的用户信息，包括用户登陆用户名和暂存的密码

② 使用wireshark对流量进行抓包分析

打开Wireshark，选择本地链接接口开始抓包
kali中打开监控，win7执行后门程序5330.exe进行回连，输入过滤条件ip.addr == 192.168.30.129，能够看到Wireshark上捕获到大量的TCP传输（因为抓包时Kali一直处于链接win7的状态，所以并无捕获到TCP四次握手取消链接过程）
输入其余命令，Kali会不断给Windows传一大堆ACK包，有时还伴有PSH+ACK包。（PSH就表示有 DATA数据传输）

③ 使用Process Monitor分析恶意软件

Process Monitor一款系统进程监视软件，整体来讲，Process Monitor至关于Filemon+Regmon，其中的Filemon专门用来监视系统中的任何文件操做过程，而Regmon用来监视注册表的读写操做过程

win7虚拟机中下载并安装
打开软件，能够看出其对各个进程的详细记录
能够点击过滤器-过滤器，选择进程名称，输入后门名称5330.exe，选择包括并添加，点击应用肯定，就能够看到监视条目
咱们在kali中打开监控，win7中双击程序回连，kali中我输入了ls查看目录，在Process Monitor中发现这个操做
咱们右键点击跳转到能够跳转到注册表，发现指向了这个注册表
看它的名字我猜想kali为获取名称而修改了这个跟命名相关的注册表。。

④ 使用Process Explorer分析恶意软件

Process Explorer让使用者能了解看不到的在后台执行的处理程序，能显示目前已经载入哪些模块，分别是正在被哪些程序使用着，还可显示这些程序所调用的 DLL进程，以及他们所打开的句柄。Process Explorer最大的特点就是能够终止任何进程，甚至包括系统的关键进程！

在win7虚拟机中下载并安装
在win7中运行木马，回连kali时，咱们能够看到Process Explorer对其进行的记录，双击可查看其属性
在Strings一般可以显示这个进程在运行的时候可能会使用到的一些字符串，好比网址、路径名、注册表信息等等蛛丝马迹。若是是病毒或者恶意软件经过包含着一个远程的地址用来下载病毒或者将窃取的信息上传。这里一般还会包含其余信息，对于不一样的场合来讲，总有一些是有用的。一般有些杀毒软件也会从这里提取病毒特征码的。

我在其中发现了前面分析到的dll文件：wsock32.dll和ws2_32.dll，这两个是会常常被木马、病毒等进行侵略篡改的文件，能够分析出咱们的后门程序对其作必定的修改来实现反弹链接控制被控机。

返回目录

实验过程当中遇到的问题

在安装sysmon时报错，提示找不到命令Sysmon.exe，但它确实存在于当前位置

解决办法：按照提示要求将命令改成.\Sysmon.exe -i C:\20165330Sysmoncfig.txt便可。