20145226夏艺华 网络对抗技术EXP4 恶意代码分析

20145226夏艺华 网络对抗技术EXP4 恶意代码分析(未完成版)

回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

· schtasks——设置一个计划任务,指定时间记录主机的联网记录或者是端口开放、注册表信息等等;
· sysmon——配置好想记录事件的文件,可以在事件查看器里找到相关日志文件;
· Process Explorer——监视进程执行情况,查看是否有程序调用了异常的dll库之类的。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

· Wireshark进行抓包分析,查看该程序联网时进行了哪些操作;
· 使用systracer工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。

实践过程记录

恶意代码静态分析

一、使用virscan分析恶意软件

在病毒分析网站上分析之前我们自己生成的后门程序,发现有5/39的杀软能够查杀到这个恶意代码
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
点击文件行为分析可以看到有:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
各种各样的可疑行为。。

二、使用PE Explore分析恶意软件

使用PE Explore打开可执行文件,可以看出文件的编译时间是2017年3月22日01:11:30,链接器版本号为10.0
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

用import viewer来看一下这个文件的导入表中包含的dll文件:

ADVAPI32.dll文件是一个高级API应用程序接口服务库的一部分,可以实现对注册表的操控(exo me??)
WSOCK32.dll和WS2_32.dll用于创建套接字,也就是说会发生网络连接(连网干啥。。。)

PE Explore也可以反汇编
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

三、PEiD
我们使用PEiD来看一下这个程序有没有加壳或是用什么来编译的:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
如图所示,没有加壳的软件会在那里都会直接显示编译器名称,vc8.0,同样的,链接器版本还是10.0,没毛病。
下图为拓展信息:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

与此同时,PEiD也能反汇编,如图:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
也有节查看器:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
还可以看到更多细节,虽然暂时并不懂:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

恶意代码动态分析

一、Tcpview
在附件中下载的并不兼容,自己下载好了一个~
Tcpview用于查看进行tcp连接的进程信息:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
不看不知道,一看吓一跳,我感觉我的虚拟机,啥也没干啊。。。

二、sysmon
sysmon微软Sysinternals套件中的一个工具,首先在C:\windows\system32\文件夹下找到cmd.exe,右键以管理员身份运行,在C:\Sysinternals目录下安装,如图所示:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
Sysmon started!
启动之后,便可以到控制面板-系统和安全-事件查看器里查看相应的日志了~
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
看了一些具体的日志内容,很详细~
· 事件1:具体时间呀进程ID呀啥的都有,这个是IE浏览器的一个记录
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
· 事件2:这是chrome浏览器的一个记录
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
也可以看到详细信息,但是这个时间段宝宝并没有开电脑!!word哥chrome干了啥!
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
· 事件3:我只看到了DestinationHostname是XiaYihua...只有我的主机名是这个,虚拟机都不是的!
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

三、schtasks
1.建立netstatlog.bat文件,用于记录联网内容,文件内容如下:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建任务,每隔两分钟记录联网内容,创建成功后可以在任务管理计划中查看:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

3.打开netstatlog.txt文件查看记录内容:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
OK啦!

四、SysTracer

· 建立以下3个快照:
1.一开始在目标主机上进行快照保存为Snapshot #1;
2.在虚拟机开启监听的情况下,在目标主机运行后门程序后快照保存为Snapshot #2;
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
3.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #3;
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

· 然后使用compare对快照结果进行比对分析:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

(1)快照1和快照2:成功回连之后发现增加了一个注册表键注册表信息有变化
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
多出来了一个dll文件

(2)快照2和快照3:获取目标主机摄像头后快照
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
发现有网络诉求

五、wireshark
通过kali(IP地址192.168.88.132)对win7(IP地址192.168.88.137)虚拟机进行远程控制,使用wireshark进行抓包,抓到了虚拟机与主机的三次握手包,图中[FIN,ACK]的包就是传输的数据包。具体看一下数据包的内容,端口是226,使用IPv4协议,如下图所示:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

除了226端口,还有4444等端口的很多信息:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析

wireshark还捕捉到好多虚拟机和其他IP地址的连接:
20145226夏艺华 网络对抗技术EXP4 恶意代码分析
图只是一部分,我的天哪,我啥也没干啊。。。网络连接好频繁。

实验总结与体会

这次的实验真的是太艰难了。。。。我本来在xp虚拟机上做的,截图用微信发了之后就删掉了然后聊天记录一不小心手滑被清了,手动再见。只能在win7虚拟机上重新做一遍了。
之前并没有想到要用到的之前的实验生成的exe,然后就又重做了一遍免杀实验。。。 [smile]实验一个顶三个啊哭哭。
随着实验的深入,感觉自己平时用电脑的时候越来越慌。。。再也不能愉快地输密码了,感觉随时都有隐藏的进程在暴露我的个人信息。

上一篇:2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析


下一篇:20145208 蔡野 《网络对抗》Exp4 恶意代码分析