(1)任务一:监控你自己系统的运行状态,看有没有可疑的程序在运行
(2)任务二:分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件
(3)任务三:假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质
系统运行监控
使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
恶意软件分析
分析该软件在
该后门软件
使用schtasks指令监控系统设置计划任务,每隔一分钟查看自己的电脑有哪些程序在联网,连接的外部IP是哪里,运行一段时间后分析该文件。
在C盘中创建一个netstat5317.bat脚本,写入以下内容
date /t >> c:\netstat5317.txt
time /t >> c:\netstat5317.txt
netstat -bn >> c:\netstat5317.txt
cmd中使用
schtasks /create /TN netstat5317 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
创建计划任务netstat5317,命令中TN是TaskName的缩写,sc表示计时方式,MINUTE表示以分钟计时,TR即Task Run,netstat是我们要运行的指令,b用来输出可执行文件名,n使其以数字来显示IP和端口,最后输出重定向,将输出存放在c:\netstatlog.txt文件中。
在任务计划程序中操作并编辑该任务,将其程序或脚本选中netstat5317.bat,确定后该任务就一直处于就绪状态,将其运行后,该任务每一分钟运行一次
该任务的运行结果都存储在netstat5317.txt文件中:
执行一段时间后将txt中的数据导出通过excel表进行整理:
统计图如下:
可以在其中查看自己的电脑中有没有可疑的程序在运行,从这个图中可以看到微信、谷歌浏览器、火狐浏览器、vm虚拟机、UU加速器和steam等,使用网络最多的是IntelTechnologyAccessService,属于英特尔管理引擎系列软件的组件之一。这个组件主要负责向浏览器提供系统的相关信息,我又看了一眼该组件的内存占用也相当大,于是我就毫不留情的在服务中将这个服务改为了手动启用……毕竟要发挥最佳性能支持学习!( ̄︶ ̄)↗
有一定可疑性的进程:svchost.exe:数目众多,但是通过tasklist发现都有对应进程而不是暂缺状态,认为暂时安全。
sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,可以识别恶意或异常活动,并了解入侵者和恶意软件在您的网络上如何操作。
下载并解压SysinternalsSuite.zip,在SysinternalsSuite目录中创建配置文件sysmon20175317.xml,该配置文件中可以加入事件过滤器,具体的过滤事件选项如下:
UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine
UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime
UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName
UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction
根据这些过滤事件自主选择编写配置文件sysmon20175317.xml:
其中将谷歌与火狐浏览器设为白名单,同时去掉回环地址127.0.0.1,去掉137号端口,137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,查看http的80端口与https的443端口。
远程线程创建记录Windows程序管理器或者文件资源管理器explorer.exe;从动态链接库 (DLL) 中运行的服务的通用主机进程svchost.exe;Windows用于管理用户登录和退出的winlogon.exe;为系统管理员设计的Windows命令行外壳程序powershell.exe
编写完成后cmd中使用管理员身份运行Sysmon64.exe -i sysmon20175317.xml进行安装
在事件查看器中进入应用程序和服务日志/Microsoft/Windows/Sysmon/Operational便可看到按我们编写的文档进行记录的事件
可以看到配置文件记录的第一个日志是打开C:\sysmon20175318.xml配置文件
运行之前实验三的后门程序:
在事件查看器中可以找到该后门程序的运行记录:
可能是实验三中进行了加壳处理的缘故,许多信息都是?当我们运行不加壳的程序时就能看到源IP和端口、目的IP和端口等具体信息了
紧随其后出现了以下的事件:
SearchProtocolHost.exe、SearchIndexer.exe和SearchFilterHost.exe是Windows Vista、Windows 7/10的桌面搜索引擎的索引程序,它会在计算机空闲时自动扫描索引位置的文件名、属性信息和给定类别的文件内容,这些索引位置默认包括桌面、收藏夹、开始菜单、系统目录,以及在Windows中添加到Libraries中的目录(Windows Vista下的用户文件夹,如文档、图片、音乐、视频文件夹),SearchFilterHost.exe也可能是恶意软件所伪装,尤其是当它们存在于c:\windows或c:\windows\system32目录。虽然平时这两个程序也会出现,但是不能排除是后门程序执行产生的事件。
VirusTotal在实验三中我们使用过,将后门程序上传到VirusTotal,可以从中获取详细信息,包括大小、 MD5、SHA-1、SHA-256数值以及加密壳类型等:
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名,扫描模式有:
将实验三中加壳后的文件使用PEiD进行扫描,首先扫描未加壳的程序
再扫描加过压缩壳与加密壳的程序
这里只检测出了压缩壳,加密壳却未检测出,可见它也没有百度百科的解释的那么完美 ( ̄▽ ̄)
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。
打开软件,使用其引入功能查看文件引用的动态链接库:
经过查询KERNEL32.dll控制着系统的内存管理、数据的输入输出操作和中断处理,msvcrt.dll是微软编译软件的函数库
通过分析生成的后门程序都会使用KERNEL32.dll,所以如果有陌生软件使用KERNEL32.dll则应当提高警惕。
老师指出该实验重点在“分析”,不是“如何使用某软件”,于是我尝试使用wireshark查看后门软件在连入主机时连接了哪些外部IP,传输了什么数据
使用实验三中的后门软件进行入侵,捕获数据包如下:
通过分析可以看出后门程序使用的通信方式为TCP传输。在被植入后门的Windows主机入侵时,主机与虚拟机首先进行了完整的三次握手,并且可以明显看出是从5317端口传输的数据
下图是我单独捕获的一个完整的用kali请求主机执行ipconfig的数据包
可以看到kali向主机发送了一个请求包,主机收到请求并返回了3个应答包,第二个应答包中包含了主机具体的ipconfig数据,kali收到主机发来的数据包后再向主机发送一个ACK应答包,证明已成功收到数据。
SysTracer是一款集成HIPS以及进程行为跟踪功能的安全辅助工具,它可以跟踪并监视进程对整个系统的修改行为,包括文件操作,注册表操作,内存操作和危险行为。SysTracer可以监视全部进程,或者用户指定的某一个进程及其子进程,并提供监视日志以帮助用户对特定进程的行为进行分析。
下载安装Systracer,之后存储如下快照:
执行完毕后选择右下角的比对,对各快照进行对比,选择进擦好看不同的选项查看各个快照的不同之处
快照一与快照二进行比对可以看得出增加了后门文件C:\Users\Rivan\20175317exp4.exe
问题一:任务一中任务开始执行后找不到netstat5317.txt
问题一解决方案:经过查看任务属性,我把该任务的权限修改为“使用最高权限运行”,确认后该任务就可以在c盘目录下写文件了
本次实验在操作上没有什么难度,主要是理解体验对程序的分析过程,掌握利用软件分析恶意代码的能力。通过实验我学会了检测系统进程的方法、查看其调用动态链接库的方法以及查看代码结构的方法等。这次试验相对来说有意思的多,平时我的电脑在游戏以及学习中也会下载许多软件和插件,正好利用此机会查看这些软件与插件是否存在捆绑与后门。本次实验还使我对恶意代码的一些特征有了更深的认识,在之后的使用中我也可以区分出什么样的软件是可以软件,值得对其进行观察。总体来说这次试验对我的帮助还是很大的,使我增加了一份新技能 <( ̄︶ ̄)↗
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
schtask与sysmon应用指导
使用轻量级工具Sysmon监视你的系统
Sysinternals Suite
virustotal
20155312 张竞予 Exp4 恶意代码分析
2019-2020-2 20175317钟睿文《网络对抗技术》Exp4 恶意代码分析
原文:https://www.cnblogs.com/20175317zrw/p/12683782.html