我决定获取一个名为“ BC.Heuristic.*.SusPacked.BF-6.A”的示例,出于其他的原因,我不会把程序链接放到该示例,但是该示例的MD5哈希为0148d6e7f75480b3353f1416328b5135 。可以将其用作打开的恶意软件站点上的搜索词,以查找本次分析尝试中使用的样本。
下载文件后,我会使用Regshot拍摄注册表和计算机上文件的快照。然后,我运行文件,拍摄了另一个快照,并比较了两者。结果显示,执行时创建了多个文件和文件夹。
Files added: 3
----------------------------------
C:\Program Files\Windos\logg.dat
C:\Program Files\Windos\Windos.exe
C:\WINDOWS\Prefetch\MALWARE.EXE-155B9235.pf
----------------------------------
Files [attributes?] modified: 3
----------------------------------
C:\Documents and Settings\james\NTUSER.DAT.LOG
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\system.LOG
----------------------------------
Folders added: 1
----------------------------------
C:\Program Files\Windos
----------------------------------
我还注意到Debian服务器收到了来自被恶意软件感染的计算机的大量DNS请求。(部分查询用##修饰。)
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
^C^X
root@debian:/home/james#
因此,该恶意软件正尝试为其服务器获取其IP,我假设要么下载其他内容,要么向服务器发送一些数据。
由于存在此DNS请求,因此我想到的下一步是充分利用DNS服务器,并使用我自己的IP之一响应该请求,以查看下一步的操作。因此,我打开了/ etc / hosts文件,并向我的debian服务器192.168.56.101添加了指向se7aaaaa.no-##。###(已编辑)的新条目。然后,我在受恶意软件感染的计算机上启动了Wireshark,并重置了DNS守护进程。
这部分我不是100%确定的。但是我可以从中收集到的是,它正在尝试在端口81(即TOR端口)上与我的Debian服务器启动TCP连接。尽管这不一定意味着它试图以任何方式连接到TOR网络。无论服务器尝试执行什么操作,都无法正确响应(或根本无法响应),因此连接无法完全建立。我要做的下一步是在端口上设置一个netcat侦听器,然后查看正在发送的内容。为此,我输入了以下命令:
nc -l -p 81
-l指定一个侦听器,-p指定我要侦听的端口。
最后我收到的是一大堆复杂的数据,这里就不演示了。
关注:Hunter网络安全 获取更多资讯
网站:bbs.kylzrv.com
CTF团队:Hunter网络安全
文章:Xtrato
排版:Hunter-匿名者