标签:后台 exe 绿色 nsa shell down excel license ref
要求:使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
Step1:输入以下命令,每五分钟记录下有哪些程序在连接网络。此命令完成后,每五分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里。
schtasks /create /TN 20175310netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
下面是一些参数的含义:
>:将结果输出到c盘下的netstatlog.txt文件中
Step2:由于不能显示记录的时间和日期,这可能不便于我们判断,要是想显示日期和时间,我们可以通过bat批处理文件来实现。
①在C盘下建一个文件c:\netstatlog.bat,内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
②打开控制面板->管理工具->任务计划程序,找到我们的任务20175310netstat
③选中任务,找到操作,点击所有项里的属性选项
④找到操作选项卡,双击详细信息,把框中原本的cmd改成c:\netstatlog.bat。
⑤此时打开c:\netstatlog.txt文件,就可以看到时间信息了。
Step3:把数据导入到excel
①打开Excel,点击数据选项卡,在获取外部数据的方式上选择自文本,选择记录连接情况的netstatlog.txt
②选择分隔符号
③分隔符号全部选上
④列数据格式默认就可以,然后点击完成,数据就导入成功了。
⑤找到插入选项卡,点击数据透视图,来生成一个数据透视图。
Step4:分析统计的数据
Step1:在官网上下载sysmon工具
Step2:创建配置文件sysmon.xml,文件中写入以下指令:
<Sysmon schemaversion="4.12">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
Step3:以管理员身份打开命令行,使用指令Sysmon.exe -i sysmon.xml安装sysmon。输入命令之后会弹出下面这个框,点击Agree进行安装。
安装成功,从图中可以看出版本号为4.23。
Step4:修改配置文件
<Sysmon schemaversion="4.23">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">5310</DestinationPort>
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
Step5:配置文件修改完要更新,指令为:sysmon.exe -c sysmon.xml
Step6:查看日志。
①在开始菜单搜索框中输入event,打开事件查看器。
②在应用程序和服务日志下,查看Microsoft->Windows->Sysmon->Operational。
③运行实验二生成的后门文件,在kali虚拟机中获取Windows的命令行。
④此时就可以查看到后门文件的日志了。
从图中可以获取到以下信息:
镜像:G:\ncat\20175310_backdoor.exe
描述:ApacheBench命令行实用程序
产品:Apache HTTP服务器
从图中可以获取到以下信息:
程序:G:\ncat\20175310_backdoor.exe
协议:tcp
源IP地址:192.168.0.108(Windows的IP)
目标IP地址:192.168.0.101(kali的IP)
目的端口:5310
要求:分析该软件在①启动回连,②安装到目标机,③其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
(1)读取、添加、删除了哪些注册表项
(2)读取、添加、删除了哪些文件
(3)连接了哪些外部IP,传输了什么数据(抓包分析)
该实验重点在“分析”,不是“如何使用某软件”。组长、课题负责人要求写细一点,其他人可以重点放在分析上。
主要有以下几种分析方法:
- 文件扫描(VirusTotal、VirusScan工具等)
- 文件格式识别(peid、file、FileAnalyzer工具等)
- 字符串提取(Strings工具等)
- 反汇编(GDB、IDAPro、VC工具等)
- 反编译(REC、DCC、JAD工具等)
- 逻辑结构分析(Ollydbg、IDAPro工具等)
- 加壳脱壳(UPX、VMUnPacker工具等)
我主要选取以下几种方法和工具来进行分析
(1) 文件扫描(VirusTotal):检出率58/71
从下图中的详情信息可以看到以下信息:
该文件是ApacheBench命令行实用程序
根据Apache许可证2.0版(以下简称“许可证”)授权的注释;除非符合许可证,否则您不能使用此文件。您可以在http://www.apache.org/licenses/License-2.0上获取许可证副本,除非适用法律要求或书面同意,否则根据许可证分发的软件是按“原样”分发的,无任何明示或暗示的保证或条件。请参阅许可证,以了解控制许可证下的权限和限制的特定语言。
(2)文件格式识别(peid工具)
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
下图中可以看到运行此文件是增加的一些进程:从图中可以看到,这个后门文件执行的时候回运行很多DDL后缀的进行,也就是动态链接库。程序在运行时由系统动态加载到内存中供程序调用,所以调用DDL也是正常的,从名称看也看不出什么异常。
(3) 反编译、反汇编(PE Explorer工具)
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器,非常好用。
调用的DDL文件:用PE Explorer查看到的DDL文件比刚刚用peid看到的更加详细了一些,它指出了DDL文件调用了哪些函数
版本信息:这里的很多内容其实在之前的日志文件还有VirusTotal网站上都有看到过
主要有以下几种方法:
- 快照比对(SysTracer、Filesnap、Regsnap工具等)
- 抓包分析(WireShark工具等)
- 行为监控(Filemon、Regmon、ProcessExplorer工具等)
- 沙盒(NormanSandbox、CWSandbox工具等)
- 动态跟踪调试(Ollydbg、IDAPro工具等)
我主要选取以下几种方法和工具来进行分析
(1)快照比对(SysTracer工具)
为了便于分析,我抓了三种状态:
snapshot#1:不做任何操作,系统自然状态
snapshot#2:启动后门回连msf
snapshot#3:远程在win7上执行查看文件、建立新文件夹、查看用户等操作
将快照1和快照2进行对比,导出差异分析的结果
之前的是所有的概览,要分析详细的内容的话,查看模式选择仅差异。从图中可以看到后门文件启动并回连之后,修改的相关注册表项是HKEY_USERS,查看到相关的修改发生在HKEY_USERS\SID(这里是S-1-5-21-2119850594-2044871672-3475818845-1000)\Software目录下,这个键为单独的用户扩展,基于为用户或者被用户安装的其他软件。
被修改的注册表还有HKEY_CLASSES_USER,其根键中记录的是当前用户的配置数据信息,用户可以利用此根键下的子键修改Windows的许多环境配置。比如系统提示声、鼠标速度、图标间距、图标大小等。
C:\boost_interprocess文件夹,是用于进程间通讯的临时文件,类似于共享内存的句柄
此时因为还没有进行操作,只是实现了回连,所以从中看不到应用程序上有什么差异。
将快照1和快照3进行对比,导出差异分析的结果
HKEY_CLASSES_ROOT,该注册表项包含了所有应用程序运行时必需的信息(包括在文件和应用程序之间所有的扩展名和关联、所有的驱动程序名称、类的ID数字、用于应用程序和文件的图标等)。差异中调用Windows的命令行操作有所体现。
g:\ncat文件夹下输入过mkdir test的命令,因此这边文件差异中可以看出。
20175310_backdoor.exe文件大量调用了系统中的DDL文件。
(2)抓包分析(WireShark工具)
dir之后捕获到的数据包
从数据包中可以看到源IP、目的IP、源端口、目的端口以及传输的数据。
mkdir test之后捕获到的数据包
数据包内的结构和刚刚基本相同,不再放截图了。
报错:[-] Handler failed to bind to 192.168.0.108:5310:- -
解决方案:可能存在的原因有以下几个
在排除了以上几个问题之后,就可以成功回连了。
我在做实验的过程中找软件也花费了不少时间,我把能用的都已经整理好了,供大家参考。
下载链接,提取码:7s0t
包括sysmon、PEiD、PE Explorer、SysTracer这四个软件的安装包。
这次实验操作性很强,在做的过程中会遇到很多没有学过的问题,特别是使用到的这些软件的具体操作,都不是很了解,因此花费了较长的时间。不过通过此次试验,让我对恶意代码的分析、遇到恶意代码要如何解决以及如何防范恶意代码有了深入的理解。
2019-2020-2 20175310奚晨妍《网络对抗技术》Exp4 恶意代码分析
标签:后台 exe 绿色 nsa shell down excel license ref
原文地址:https://www.cnblogs.com/xicyannn/p/12690816.html
