- 2020-2021 20181217 《网络对抗技术》Exp4 恶意代码分析
- 监控你自己系统的运行状态,看有没有可疑的程序在运行
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质
- 系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为
- 恶意软件分析
- 分析该软件在
启动回连
,安装到目标机
及其他任意操作
时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件——- 读取、添加、删除了哪些注册表项
- 读取、添加、删除了哪些文件
- 连接了哪些外部IP,传输了什么数据(抓包分析)
- 分析该软件在
- 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 利用Windows计划任务netstat,定期查看并分析网络连接情况
- 可利用sysmon工具,配置好想要监控的端口、注册表信息、网络连接等信息,通过其生成的日志文件进行查看
- 利用wireshark查看数据包,分析数据流
- 使用Process Explorer工具,监视进程执行情况
- 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 利用wireshark查看数据包,查找可以数据连接
- 利用systracer进行快照的对比(注册表、文件等)
恶意代码
- 是通过存储介质和网络进行传播,从一台计算机系统到另一台计算机系统,未经授权破坏计算机系统完整性的程序或代码
- 最常见的恶意代码有病毒、木马、蠕虫、后门、僵尸网络、Rootkit等
- 恶意代码都有以下共同特征:
- 恶意的目的
- 本身是计算机程序
- 通过执行发生作用
- 具体可看恶意代码
恶意代码分析
- 静态分析(不运行程序)
- 使用反病毒软件来确认程序样本的恶意性(VirusTotal或者virscan,可调用多个反病毒引擎来进行扫描)
- 哈希值:恶意代码的指纹(md5deep程序:计算出程序的哈希值)
- 通过检索恶意代码字符串获得相应的功能调用解释等,查看是否有被加壳处理(字符串检索:Strings 外壳检测:PEiD)
- 可移植执行(PE)文件以一个文件头开始,包含代码信息、应用程序类型、所需的库函数与空间要求。(使用PEview来分析PE文件。使用Resource Hacker工具来浏览.rsrc节(资源)。PEBrowse Professional和PE Explorer 也是分析PE文件的两大工具)
- 动态分析(运行程序)
- 沙箱:提供容易理解的输出结果,用来做初诊断非常有用(Norman沙箱、GFI沙箱等)
- DLL类型文件执行(PEview、PE Exporer)
- 用一些系统监视类软件捕获运行中恶意程序的系统调用(process monitor、process explorer)
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
- 使用schtasks指令监控系统
- 使用
schtasks /create /TN netstat1217 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstat1217.txt"
命令创建计划任务netstat1217,创建计划任务
netstat1217
,命令中TN
是TaskName的缩写,sc
表示计时方式,MINUTE
表示以分钟计时,TR
即Task Run,netstat
是我们要运行的指令,b
用来输出可执行文件名,n
使其以数字来显示IP和端口,最后输出重定向,将输出存放在c: etstat1217.txt
文件中。
TN是TaskName的缩写,这里计划任务名是netstat1217; sc表示计时方式,以分钟计时填MINUTE; TR=Task Run,要运行的指令是netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口。
在C盘要目录下建一个文件c:
etstat1217.bat
(可以先在桌面新建txt文本文件,使用记事本写入后在修改后缀为.bat,复制到C盘中),写入内容如下:
date /t >> c: etstat1217.txt time /t >> c: etstat1217.txt netstat -bn >> c: etstat1217.txt
在左下角Windows处右键打开计算机管理
-任务计划程序
,可以看到我们新创建的任务:
双击这个任务,点击操作
-编辑
,将其中的程序或脚本
改为我们创建的netstat1217.bat
批处理文件点击确定。(注意看这里:一定要勾选使用最高权限运行
,否则可能导致文件不能自主更新或者记录里出现权限问题)
在计算机管理界面对该任务右键点击运行,
此时,可在netstat1217.bat所在
目录下看到一个txt文本文件,打开就可看到每隔一分钟被输到这里的联网数据。
- 现在我们等待一段时间,让记录项目足够多了我们用excel来进行分析
将netstat1217.txt
已经记录的数据导入wps表格中去.
打开Excel表格,选择数据
-获取外部数据
-自文本
,在数据类型
中选择分隔符号
点击下一步
,标记所有分隔符号
,点击完成
就可以看到txt文档中一样的信息,然后选择我们要分析的那一列
选择插入
-数据透视图
,并默认位置新表格
,点击确定
在字段中去除不需要的字段(注意去掉TCP)
将该字段拖动到下方的轴
和值
两个区域中
就可以清晰的看到联网信息的统计图了
由统计数据可知,联网最多的程序是msedge.exe(微软浏览器)
,我们还能够找到微信、腾讯管家、网易云音乐、浏览器、excel、lenovo、还有虚拟机这些连网的进程。时不时的关注一下这些自启动程序,会很大程度避免入侵。
发现了一个exp_backdoor.exe
后门程序,是上次做实验留下的,通过查询他的连接数据,发现他所连IP都显示为[::1]:52311
类,经过查询::1
代表的是ipv6的本机地址,也就是ipv4的127.0.0.1
,在查找相关进程在VM有关进程发现vmware-authd.exe
(它是虚拟机的授权服务)所连外部IP就是我的kali的IP地址和后门设置的端口,这应该就是后门和我的主机进行通讯的一个通道吧。
安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
-
下载老师给的安装包并解压sysinternals
右键Sysmon64.exe,在属性
详细信息查看产品版本
-
确定要监控的目标:在这里我选择
进程创建
、进程创建时间
、网络连接
、远程线程创建
-
写配置文件
-
相关事件过滤器选项在使用轻量级工具Sysmon监视你的系统可看到,
进程创建ProcessCreate
,进程创建时间FileCreateTime
,网络连接NetworkConnect
,远程线程创建CreateRemoteThread
-
- 进程创建ProcessCreate:
UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine
- 进程创建时间FileCreatTime:
UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime
- 网络连接NetworkConnect
UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName
- 远程线程创建CreateRemoteThread
UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction
根据这些过滤事件自主选择编写配置文件
sysmon20181217.xml,
内容如下:
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">Explorer.exe</Image>
<Image condition="end with">msedge.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">Explorer.exe</Image>
<Image condition="end with">msedge.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">Explorer.exe</Image>
<Image condition="end with">msedge.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
exclude
相当于白名单,不用记录。include
相当于黑名单.其中将其中将Explorer与msedge浏览器设为白名单.同时去掉回环地址127.0.0.1,去掉137号端口,137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,查看http的80端口与https的443端口。Image condition
根据自己使用的浏览器更改,如谷歌浏览器是chrome.exe
,IE浏览器是iexplore.exe
- 网络连接过滤掉了浏览器的网络连接、源IP为
127.0.0.1
的网络连接和目的端口为137
的连接服务,且查看目的端口为80(http)
和443(https)
的网络连接。(137
端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。127.0.0.1
表示本机IP。) - 远程线程创建记录了目标为
explorer.exe
、svchost.exe
、winlogon.exe
和powershell.exe
的远程线程。 explorer.exe
是Windows程序管理器或者文件资源管理器svchost.exe
是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。winlogon.exe
是Windows NT 用户登陆程序,用于管理用户登录和退出。powershell.exe
是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。
- 以管理员身份运行CMD在
Sysmon64.exe
目录下执行.Sysmon64.exe -i sysmon20181217.xml
(Windows+X :以管理员身份运行)(如果修改了配置文件,要运行指令:.Sysmon64.exe -c sysmon20181217.xml)
注:弹出如下窗口时,记得选Agree。
左下角右键Windows标志,找到事件查看器
,在应用程序和服务日志
-Microsoft
-Windows
-Sysmon
-Operational
可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等
分析实验三生成的后门程序,按步骤执行到回连
在点击Sysmon
-Operational
刷新记录,在14:03:24找到运行后门文件hellonew20181217_upxed.exe
相对应的日志如下
Linux执行shell
获取cmd
在14:20左右我获取了shell,在事件管理器中,发现C:WindowsSysWOW64cmd.exe
这样一个进程,其显示目录在后门程序目录下,很显然与后门程序相关
SysWOW64可以在64bit的Windows中运行32bit的程序,而Windows下的cmd.exe是64bit的,kali回连获取的windows的cmd程序是32位的。
我们在输入dir
获取目录下信息,发现了一个被运行的的进程svchost.exe。
- Svchost.exe是微软视窗操作系统里的一个系统进程,管理通过Dll文件启动服务的其它进程,一些病毒木马伪装成系统dll文件通过Svchost调用它,试图隐藏自己。每个svchost可以同时调用多个dll文件,启动多个服务。
- 我们在输入
webcam_snap
获取摄像头,同样也发现了Svchost.exe
这个进程。
动态分析
使用systracer分析恶意软件
- 下载systracer,安装并进行捕包分析systracer
- 进入安装选择第二个,
next
设置端口为1217
(后门生成时利用的端口),安装完成后进入界面
- 捕获五个快照如下:
打开后门前先点击take snapshot
(创建快照),接着Start
创建过程长短视当前系统体量而定,创建好后默认名称为Snapshot #1
开启后门程序回连kali(停在获取命令的那一刻),此时创建第二个快照Snapshot #2
然后kali中输入一个ls
命令,此时创建第三个快照Snapshot #3
输入screenshot
命令抓屏,此时创建第四个快照Snapshot #4
输入dir
命令,此时创建第四个快照Snapshot #5
对比Snapshot #1
和Snapshot #2
增加了一个运行着的后们程序hellonew20181217_upxed.exe
端口变化 :
而且可以详细看到其的目的IP和端口号、源IP和端口号以及连接的协议(可以看到回连后门文件回连的ip为192.168.43.48正好为kali的ip)
增加了一些文件,也删除了一些文件
同时还多了许多的文件,均是启动后门程序后增加的dll文件
对比2和3
注册表信息,我们发现,有的不能查看,只是显示not registered。
- 关于HKEY_LOCAL_MACHINE:它保存了注册表里的所有与这台计算机有关的配置信息
- 关于HKEY_CURRENT_USER:它管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码
dll的变化:
对比#4,#5:可以看到对key_local_machine
根键中的内容进行了修改,KEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息,执行dir会改变该注册表的信息。
只是我们无法看到具体内容。。
- 打开Wireshark,选择WLAN接口开始抓包
kali中打开监控
win10执行后门程序hellonew20181217_upxed.exe
进行回连,输入过滤条件ip.addr == 192.168.43.48
,可以看到Wireshark上捕获到大量的TCP传输),输入其他命令,Kali会不断给Windows传一大堆ACK包,有时还伴有PSH+ACK包。(PSH就表示有 DATA数据传输)
PE Explorer
- PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。
- 在ProcessExplorer查找后门程序
打开后门程序hellonew20181217_upxed.exe
查看程序头部信息
视图(view)
-数据目录(Data Directories)
查看程序静态数据目录
视图(view)
-节头(Head Sections)
查看节头信息
工具(tools)
-反汇编器(Disassambler)
进行反汇编
退出后点击导入
查看所引用的dll库,分析得知
-
msvcrt.dll
是微软在windows操作系统中提供的C语言运行库执行文件kernel32.dll
属于内核级文件,它控制着系统的内存管理、数据的输入输出操作和中断处理,是必需的。
通过分析生成的后门程序都会使用KERNEL32.dll
,所以如果有陌生软件使用KERNEL32.dll
则应当提高警惕。
静态分析
PEiD检查恶意代码
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名
使用PEiD检查恶意代码hellonew20181217_upxed.exe
是否加壳。
可以看出已经加壳。
如果没有加壳:
PEiD还可进行脱壳
- 下面是通用脱壳器
使用VirusTotal检查恶意代码
- 使用VirusTotal检查恶意代码,可以查看MD5、SHA-1、文件类型、文件大小、加壳方式等相关信息
算法库支持
实验总结
实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 可以用任务管理器查看自启动项,在自启动项进行过滤查看
- 利用Windows计划任务netstat,定期查看并分析网络连接情况
- 可利用sysmon工具,配置好想要监控的端口、注册表信息、网络连接等信息,通过其生成的日志文件进行查看
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 利用Wireshark抓包,进行分析有没有异常的或可疑的连接(分析起来难度较大,这个只能有针对的去分析,比如知道IP地址 等等 )。
- 还可以利用Systracer来拍摄快照,进行对比分析改变的注册表及文件信息。
实验中遇到的问题
1.问题:Sysmon.exe和xml中的版本不相符
解决:把sysmon1217.xml
用记事本打开,把原来的版本号10.42改为3.10
2.问题:提示“You need to launch Sysmon as an Administrator.”
解决:按Windows+X
→进入Windows PowerShell(管理员)
实验体会
我们要对恶意软件进行分析,之前接触了很多攻击方法,对这些在进行分析还是有一定帮助的,分析不够深入,很多没见过的就要百度,有一种似懂非懂得感觉,实验中用到的软件都很陌生,但并不是所有的恶意程序都可以被检测出来,所以还是要尽量从官方平台下载软件,这些不能说绝对的安全,但相比那些其他网站下载的要相对安全一些。