2018-2019 20165237网络对抗 Exp4 恶意代码分析

2018-2019 20165237网络对抗 Exp4 恶意代码分析

---

实验目标

• 1.1是监控你本身系统的运行状态，看有没有可疑的程序在运行。

• 1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。

• 1.3假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

---

Exp 4.1

1、系统运行监控——计划任务

• 建立计划任务，使系统每1分钟自动检测到有哪些程序在链接咱们的网络。

• TN：Task Name，本例中是netstat
• SC: SChedule type,本例中是MINUTE,以分钟来计时
• MO: MOdifier
• TR: Task Run，要运行的指令是 netstat
• -bn，b表示显示可执行文件名，n表示以数字来显示IP和端口

C:\schtasks /create /TN netstat5237 /sc MINUTE /MO 1/TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 由于C盘没法直接建立文件的缘由，我就在桌面先建立了txt文件，随后再复制到C盘中。

在netstatlog.txt中输入如下内容：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 任务计划程序->netstat5237->属性->操做(必定要将常规中使用最高权限运行勾上！)，接着以下设置：
  

• 大约过了好久，打开C盘中的netstat5237.txt，会发现文件中多了成千上万行字：
  

• 将netstat5237.txt导入WPS的数据表格中，和Excel的步骤同样，数据->导入数据->选择数据源,接着设置以下：
  
  
  
  

• 大功告成，数据导入成功：
  

• 首先查看全部联网程序的联网次数，选中咱们要分析的列，
  点击上方“插入”->“数据透视图”
  默认选择在一个新工做表中生成
  

• 在右侧“选择要添加到报表的字段”中点击对应字段右侧的小箭头->取消选择那些没有意义的字段，而后点击“肯定”，并将该字段拖动到下方的“轴字段”和“数值”两个区域中
  

• 而后就能够看到咱们的统计图进行分析
  

• 能够看到，第一多的是TCP，其次是qbclient.exe和wps.exe，qbclient是我所用的游戏加速器（其实我是忘记关了。。。），另一个是wps软件，我想可能个人电脑目前是安全的吧。

2、系统运行监控——利用Sysmon

• 写配置文件20165237monconfig.exe,并老办法放到C盘中

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 安装sysmon：以管理员身份执行命令sysmon.exe -i C:\20165237monconfig.txt
  

• 成功启动：
  

• 在事件查看器里查看日志；“事件查看器”->应用程序和服务日志/Microsoft/Windows/Sysmon/Operational
  

• 这里我选择了本身实验二中生成的后门20165237.exe进行分析，进行回连：
  

• 使用getpid指令找到进程号11812
  

• 在事件查看器中经过进程号找到这个进程
  

---

Exp 4.2

1、恶意软件分析-viru totals

• 在viru totals网站上查看上次实验检查所作的后门程序。结果（包括MD5 SHA-1 Hash的值）以下：
  

2、恶意软件分析——Systracer

• 下载安装Systracer->
  下载完成->运行->agree->选第二个->设置监听端口号->安装完成:
  

• 我主要进行2次快照，一次是回连前，一次是回连并执行dir命令：
  
  
  

• 点击上方“Applications”->左侧“Running Processes”->找到后门进程“20165237.exe”->点击“Opened Ports”查看回连地址、远程地址和端口号：
  

• 在快照界面“Snapshots”右下角点击“Compare”，比对一下回连先后计算机发生的变化,这里能够选择only difference：
  

3、Wireshark进行抓包分析：

• 选择对VMnet8网络捕捉。在回连以前，开始捕获；回连完成后结束捕获，并把过滤规则设置为ip.addr == 192.168.153.135：
  

不难看出，这里回连时使用的是TCP三次握手，接下来的数据传输也是经过TCP协议来完成。

---

实验中遇到的问题及解决方法

• 实话实说，此次的实验第一步就把我困住了。个人netstat。txt只有时间和日期，却没有网络内容。我尝试了不少办法（管理员权限启动CMD.EXE，换个盘存放20165237.bat，改配置内容），最后仍是要感谢陈厚康同窗帮我解决这个难题将事件属性的常规中勾上最高权限运行（看看回收站就知道了。。哎）。
  
  

---

实验感想和问题

• 若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控

  答：能够设置用schtasks设置计划任务，让它天天定时检测并输出网络通话的数据，再经过分析使用量和内容来判断是否有恶意代码。

• 若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息

  答：经过viru totals扫描内容，再用杀毒软件对其分析。

• 感想：此次实验难度不大，可是须要注意的细节不少，经过网络抓包来分析电脑中的恶意软件或恶意程序，监控、发现恶意攻击，也复习了抓包软件的使用。（其实在第一步就卡住了很长时间的我，早就已经崩溃了。。。）