Exp4 恶意代码分析
- 监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
1.系统运行监控
2.恶意软件分析
分析该软件在启动回连、安装到目标机及其他任意操作时(如进程迁移或抓屏)
该后门软件
根据本次实验的要求,从老师所给网站或自行百度下载 Sysmon 、 PEID 、PE Explorer 、 Systracer 、 Wireshark
使用 schtasks /create /TN netstat4318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
命令创建计划任务 netstat4318
TN
是 TaskName 的缩写,我们创建的计划任务名是 netstat4318;sc
表示计时方式,我们以分钟计时填 MINUTE;TR
=Task Run,要运行的指令是 netstatbn
, b
表示显示可执行文件名,n
表示以数字来显示 IP 和端口;>
表示输出重定向,将输出存放在 c:\netstatlog.txt
文件中在C盘中创建一个 netstat4318.bat
脚本文件,写入以下内容
date /t >> c:\netstat4318.txt time /t >>c:\netstat4318.txt netstat -bn>> c:\netstat4318.txt
打开任务计划程序,可以看到新创建的这个任务:
netstat4318.bat
批处理文件,确定即可。当记录的数据足够丰富时,停止任务,将所得数据在excel中进行分析,此过程要一直保持开机联网状态才能持续监控
等待一段时间(如一天),将存储的数据通过excel表进行整理:
选择记录连接情况的文本netstatlog.txt,点击“导入”
进入文件导入向导第一步,选中“分隔符号”,点击“下一步”
进入文件导入向导第二步,选中全部分隔符号,点击“下一步”
进入文件导入向导第三步,列数据格式选择常规,点击“完成”。
对待分析数据进行统计学分析:
点击上方“插入”->“数据透视图”
默认选择在一个新工作表中生成
在右侧“选择要添加到报表的字段”中点击对应字段右侧的小箭头->取消选择那些没有意义的字段,然后点击“确定”
将该字段拖动到下方的“轴字段”和“数值”两个区域中
可以看到我们的统计图进行分析了:
如数据图所示,联网最多的就是系统自带的浏览器和 QQ 浏览器,之后便是 Vmware 和 Wechat ,值得注意的是,我们发现了植入的后门程序 「20174318backdoor.exe 」。
sysmon20174318.xml
了,配置文件如下:<Sysmon schemaversion="4.12"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">firefox.exe</Image> </ProcessCreate> <ProcessCreate onmatch="include"> <ParentImage condition="end with">cmd.exe</ParentImage> </ProcessCreate> <FileCreateTime onmatch="exclude" > <Image condition="end with">chrome.exe</Image> <Image condition="end with">firefox.exe</Image> </FileCreateTime> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">firefox.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">firefox.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
Sysmon.exe -i C:\sysmon20174318.xml
安装 sysmon从文件的详细信息查看的版本号是 4.12 ,但提示应该填写 3.10 ,虽然感觉有点前后矛盾,但还是在 .xml 文件中修改下版本号
在事件查看器中的应用程序和服务日志下,查看 Microsoft->Windows->Sysmon->Operational
。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等。
这个配置文件记录的第一个日志就是打开C:\sysmon20174318.xml
配置文件
分析日志,我分析的是自己生成的后门文件进行分析。
静态分析
- 文件扫描(VirusTotal、VirusScan工具等)
- 文件格式识别(peid、file、FileAnalyzer工具等)
- 字符串提取(Strings工具等)
- 反汇编(GDB、IDAPro、VC工具等)
- 反编译(REC、DCC、JAD工具等)
- 逻辑结构分析(Ollydbg、IDAPro工具等)
- 加壳脱壳(UPX、VMUnPacker工具等)
我主要选取以下几种方法和工具来进行分析
(1) 文件扫描(VirScan工具)
查看这个恶意代码的基本属性:
可以看出它的SHA-1、MD5摘要值、文件类型、文件大小等信息。
(2) 文件格式识别(PEID 工具)
先看一下没有加壳的后门程序
再看一下加过压缩壳的后门程序:
再看一下加过加密壳的后门程序:
(3) 反编译、反汇编(PE Explorer工具)
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器,非常好用。
这里主要看文件引用的dll库,可以通过 视图→引入 进行查看,如下图所示:
靶机运行后门程序进行回连时,我们可以在 Process Explorer工具中查看到其记录,我们可以看到这个程序运行时子程序中有conhost.exe
这个程序,同样的程序我们可以在cmd.exe
的子程序中看到,由此我们可以知道该程序是在命令行中运行的。
也可以详细查看该进程使用的CPU,虚拟内存空间、物理内存空间、I/O等。
动态分析
- 快照比对(SysTracer、Filesnap、Regsnap工具等)
- 抓包分析(WireShark工具等)
- 行为监控(Filemon、Regmon、ProcessExplorer工具等)
- 沙盒(NormanSandbox、CWSandbox工具等)
- 动态跟踪调试(Ollydbg、IDAPro工具等)
我主要选取以下几种方法和工具来进行分析:
(1)快照比对(SysTracer工具)
dir
指令record_mic
指令compare
键或者 View Differences Lists
比对各快照,进行分析可以看到新增的后门进程,而且可以详细看到其的目的IP和端口号、源IP和端口号以及连接的协议:
而且该后门程序生成了很多文件、目录和键值
dir
指令增加了很多TCP连接,应该是为了获取windows的目录所以发出了TCP连接请求
record_mic
指令新建了很多连接,其中有与后门程序相关的Apache HTTP Server
(2)抓包分析(WireShark工具)
回连完成后结束捕获,并把过滤规则设置为 ip.addr == 192.168.0.105
,这里我只想查看和虚拟机IP有关的数据包,所以把没用的包过滤掉
MSF 反弹连接时的 TCP 包
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
『使用 Sysmon 工具,编写配置文件,记录有关的系统日志;
使用 schtasks 指令设置计划任务,定期对主机的联网记录等进行记录;
使用 Sysmon 对事件进行记录,通过事件查看器的任务类别,判断可疑行为,查看连接记录;
使用 Systracer 拍摄不同时间的快照,对比不同时间的快照判断是否有可疑的增删注册表行为。』
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
『 使用Wireshark进行抓包分析,监视其与主机进行的通信过程;
使用systracer工具分析恶意软件,进行快照的对比;
使用Process Explorer查看调用的程序库。』
本次实验相较于之前几次实验,做起来比较简单,主要是对植入我们主机的恶意代码进行不同方面的分析,包括静态和动态的分析,借助不同的软件,操作起来还是很方便的
针对本次实验的内容,对结果的分析阶段特别考验我们的信息处理能力,明显看到有很多不同,但是分析是又不知道该从何下手,不太清楚每一项具体代表什么含义,只能通过查阅资料,连蒙带猜的进行分析,特别是在抓包或者是拍照的时候,感觉有点力不从心,无从下手。
同时,通过对恶意代码的分析,本次实验也是收获了很多的东西,通过自己动手实践,实现了从攻击者身份到检测、分析者身份的转变,更全面的理解了前两次实验中生成的后门程序到底在做什么,对恶意代码有了更深入的理解。
2019-2020 20174318张致豪《网络对抗技术》Exp4 恶意代码分
原文:https://www.cnblogs.com/zzh1999/p/12690764.html