2018-2019-2 网络对抗技术 20165305 Exp4 恶意代码分析

时间：2019-04-07 12:36:02 阅读：144 评论：0 收藏：0 [点我收藏+]

标签：apr 保存 pow 创建情况下 1.3 condition tar 服务

Exp4 恶意代码分析

1.实践目标

1.1是监控你自己系统的运行状态，看有没有可疑的程序在运行。

1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

1.3假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2.实践内容

2.1系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

使用schtasks的命令创建计划任务netstat5305

技术图片

在C盘中创建一个netstat5318.bat脚本文件，写入以下内容
date /t >> c:\netstat5305.txt
time /t >> c:\netstat5305.txt
netstat -bn >> c:\netstat5305.txt
打开任务计划程序，可以看到我们新创建的这个任务：
双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的netstat5305.bat批处理文件，确定即可。

技术图片

点击“条件”选项卡，可以更改相关的设置。
执行此脚本一定时间，就可以在netstat5305.txt文件中查看到本机在该时间段内的联网记录：

技术图片

当记录的数据足够丰富时，停止任务，将所得数据在excel中进行分析

技术图片

可以看到用得最多的是360浏览器，其它也没什么异常的。
（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

sysmon是微软Sysinternals套件中的一个工具，使用sysmon工具前首先要配置文件。根据老师的要求，最少要记录Event 1,2,3三个事件。即进程创建、进程创建时间、网络连接。
创建配置文件Sysmon20165305.xml
文件内容如下：

<Sysmon schemaversion="9.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">firefox.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include"> 
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

使用Sysmon.exe -i C:\Sysmon20165305.xml安装sysmon
win10下，左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等。

技术图片

打开这个事件，可以看到其属于“NetworkContect”。查看详细信息，可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等

技术图片

2.2恶意软件分析

静态分析
文件扫描（VirusTotal、VirusScan工具等）
文件格式识别（peid、file、FileAnalyzer工具等）
字符串提取（Strings工具等）
反汇编（GDB、IDAPro、VC工具等）
反编译（REC、DCC、JAD工具等）
逻辑结构分析（Ollydbg、IDAPro工具等）
加壳脱壳（UPX、VMUnPacker工具等）
动态分析
快照比对（SysTracer、Filesnap、Regsnap工具等）
抓包分析（WireShark工具等）
行为监控（Filemon、Regmon、ProcessExplorer工具等）
沙盒（NormanSandbox、CWSandbox工具等）
动态跟踪调试（Ollydbg、IDAPro工具等）

（1）使用VirusTotal分析恶意软件

把生成的恶意代码放在VirusTotal进行分析，结果如图：

额，一半的杀软检测出来了。

查看这个恶意代码的基本属性：

我们可以看到文件的类型、大小、SHA-1、MD5摘要值等结果

加壳情况

技术图片

算法库支持情况

技术图片

（2）使用Process Monitor分析恶意软件

Process Monitor 是一款由 Sysinternals公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动。
打开软件，可以看出其对各个进程的详细记录：

技术图片

（3）使用Process Explorer分析恶意软件

靶机运行木马，回连攻击机时，我们可以看到Process Explorer对其进行的记录：

技术图片

（4）使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具
我们先检测一款没有加壳的恶意软件

技术图片

现在检测一下加壳的恶意软件

技术图片

（5）使用systracer分析恶意软件

基本步骤如下：
在winxp虚拟机安装SysTracer软件
保存快照，命名为Snapshot #1
将木马植入靶机，对靶机注册表、文件等进行快照，保存为Snapshot #2
打开kali的msfconsle，靶机运行木马，回连kali，winxp下再保存快照，保存为Snapshot #3
在kali中对靶机进行屏幕截图，winxp下再次快照，保存为Snapshot #4
在kali中对靶机进行提权操作，winxp下再次快照，保存为Snapshot #5
点击右下角“快照比较”，比较五个快照的不同之处。
启动回连时，注册表发生了变化：
这是文件的变化