2019-2020-2《网络对抗技术》Exp4 恶意代码分析
一、实践目标
- 监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
二、实践内容
- 系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。如果想进一步分析的,可以有针对性的抓包。
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
- 恶意软件分析
- 分析该软件在 (1)启动回连 (2)安装到目标机 (3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)
该后门软件
- (1)读取、添加、删除了哪些注册表项
- (2)读取、添加、删除了哪些文件
- (3)连接了哪些外部IP,传输了什么数据(抓包分析)
三、实验步骤
1.系统运行监控
1.1使用schtasks设置计划任务
(1)cmd中使用schtasks指令schtasks /create /TN netstat5321 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > C:UsersWaterDice
etstatlog.txt"" 创建计划任务nestat5321
(2)在C盘中创建一个netstat5321.bat脚本,写入以下内容
date /t >> C:UsersWaterDice
etstat20175321.txt
time /t >> C:UsersWaterDice
etstat20175321.txt
netstat -bn >> C:UsersWaterDice
etstat20175321.txt
(3)修改计划程序
打开任务计划程序,可以看到新创建的这个任务:
双击此任务,点击操作->编辑,将程序或脚本改为我们创建的netstat5321.bat文件,点击确定。
在常规栏勾选不管用户是否登录都要运行、使用最高权限运行
该任务的运行结果都存储在netstat5317.txt文件中:
执行一段时间后将txt中的数据导出通过excel表进行整理:
统计图如下:
可以在其中查看自己的电脑中有没有可疑的程序在运行,从这个图中可以看到微信、阿里巴巴保护、浏览器、OneDrive和steam等,并无可疑程序。
1.2使用sysmon工具监控系统
sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,可以识别恶意或异常活动,并了解入侵者和恶意软件在您的网络上如何操作。
下载并解压SysinternalsSuite.zip,在SysinternalsSuite目录中创建配置文件sysmon20175321.xml,该配置文件如下:
<Sysmon schemaversion="10.42">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="include">
<ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">firefox.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
编写完成后cmd中使用管理员身份运行Sysmon64.exe -i sysmon20175321.xml进行安装,点击agree
在事件查看器中进入应用程序和服务日志/Microsoft/Windows/Sysmon/Operational便可看到按我们编写的文档进行记录的事件
可以看到配置文件记录的第一个日志是打开 E:Pro APPSysinternalsSuitesysmon20175321.xml配置文件
2.恶意软件分析
2.1使用VirusTotal分析恶意软件
VirusTotal在实验三中我们使用过,将后门程序上传到VirusTotal,可以从中获取详细信息,包括大小、 MD5、SHA-1、SHA-256数值以及加密壳类型等:
2.2使用PEiD分析恶意软件
文件格式识别(peid工具)
对未加壳的后门文件进行扫描:PEiD的主要功能是查壳,所以这个后门文件并没有被它查出异常
2.3使用PE Explorer分析恶意软件
打开软件,使用其引入功能查看文件引用的动态链接库:
KERNEL32.dll控制着系统的内存管理、数据的输入输出操作和中断处理,msvcrt.dll是微软编译软件的函数库
通过分析生成的后门程序都会使用KERNEL32.dll,所以如果有陌生软件使用KERNEL32.dll则应当提高警惕。
四、实验总结与体会
1.基础问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 使用schtasks指令设置一个计划任务,观察一定时间内的联网情况,对其进行数据分析查看是否有可疑的联网程序
- 使用Sysmon等编写配置文件,在事件查看器中的日志查看有无异常事件
- 使用wireshark查看自己计算机的端口开放情况,查看是否有多余端口进行可疑的数据传输
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 最简单的方法,使用VirusTotal分析恶意软件,上传后查看detail
- 使用PEiD查看程序是否加壳,加的什么壳
- 使用PE Explorer查看其引用的动态链接库
2.实践总结与体会
本次实验比起以往还是有很大的区别,更加突出了创新性和使用多种不同的软件去分析。最本质的区别,还是立场的转变。之前的三次实验我们都是处于网络攻击者的立场去操作,尝试多种不同方式的攻击,获取尽可能多的权限和数据,并试图躲过杀软的查杀。而如今这个实验让我们回到了我们学习网络对抗原本的立场上来,通过实验的方式来学习从如何监测自己系统的运行状态,并试图寻找可疑程序到当可以程序出现时如何分析恶意代码为未来的防护做准备。这次实验可以说是承上启下,尤为重要,更是锻炼了我们的分析能力与创造能力。