20212808 2021-2022-2 《网络攻防实践》实践八报告

20212808 2021-2022-2 《网络攻防实践》实践八报告

1.知识点梳理与总结

1.1 实验内容

动手实践任务一

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

动手实践任务二：分析Crackme程序

任务：在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe，寻找特定的输入，使其能够输出成功信息。

分析实践任务一：

分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：

1、提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

2、找出并解释这个二进制文件的目的；

3、识别并说明这个二进制文件所具有的不同特性；

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

5、对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

6、给出过去已有的具有相似功能的其他工具；

7、可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

分析实践任务二：

1、IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

2、僵尸网络是什么？僵尸网络通常用于什么？

3、蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

4、在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

5、那些IP地址被用于攻击蜜罐主机？

6、攻击者尝试攻击了那些安全漏洞？

7、那些攻击成功了？是如何成功的？

2.实践过程

2.1 动手实践任务一

1. 在winXP虚拟机进行，把云班课老师给的文件下载到本机，解压rada.rar（解压密码rada）后把文件夹复制进XP的C盘（记得下载ＶＭ　Ｔｏｏｌｓ）
   

2. 在cmd中切换到恶意程序所在的目录cd C:\rada，使用file命令查看file RaDa.exeRaDa.exe的文件类型
   
   

3. 看到RaDa.exe是一个32位的Windows PE可执行文件，GUI表示这个程序是一个有图形界面的程序，intel 80386表示处理器架构
   用执行指令strings RaDa.exe来查看该程序可打印字符串
   

4. 执行指令后发现可打印的字符串为乱码，无法分析出有效信息，所以判断该程序采用了加壳防止反汇编的技术
   使用PEiD工具查看RaDa.exe的基本信息
   

5. 打开PEiD_cn汉化版界面，把RａDa.exe文件打开
   
   

这里可以看到文件的入口点、偏移、文件类型、EP段、汇编程序以及加壳类型。UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo即为该程序使用的加壳工具
6.对RaDa.exe进行脱壳，打开超级巡警虚拟机脱壳器

选择文件，点击“给我脱”，发现在恶意程序同目录下生成了一个脱壳以后的程序



再次使用PEiD工具来查看脱壳后的程序

可以看到编写该程序所使用的语言和开发工具为VB6.0
再用strings查看脱壳后的RaDa_unpacked.exestrings RaDa_unpacked.exe

可以看到有很多程序的交互字符串和程序的函数调用的函数名

7.　打开IDA Pro Free


选择“new”，菜单栏“file”-“open”打开RaDa_unpacked.exe

从中可以看到作者的信息DataRescue sa/nv，还有作者的邮箱ida@datarescue.com


程序是由MSVB编写的，往下是一些函数调用、汇编代码

2.2 动手实践任务二：分析Crackme程序

1.　在winXP虚拟机进行，把云班课老师给的文件下载到本机，将crackme1.exe和crackme2.exe复制进XP的C盘

2.　cmd切换到恶意程序所在目录cd C:\，使用file命令查看crackme的文件类型file crackme1.exe和file crackme2.exe

两个文件均为windows系统下运行的32位可执行程序，且没有图形界面，仅使用控制台操作（console），是命令行程序
１）crackme1.exe
－　首先，我们先对crackme1.exe进行破解。一开始是尝试运行该程序，试探其输入格式

我们可以发现，在接受1个参数时，程序的反馈与众不同，所以我们猜测该程序接受一个参数。

我们发现了程序的两种反馈信息。一种是“I think you are missing something.”，这个猜测是参数数目不对的提示；另一种是“Pardon? What did you say?”，对于这种反馈信息，猜测是参数错误的提示。

－　接着我们使用IDA pro工具来打开文件，尝试阅读其汇编语言，验证我们的猜想。菜单栏“file”-“open”打开crackme1.exe

进去后，后侧有个Strings Window窗口，放大

通过Strings页面可以查看到该程序中出现的明文字符串，我们发现了前面的两种反馈信息，“I think you are missing something.” “Pardon? What did you say?”，还发现了“I know the secret”和“You know how to speak to programs, Mr. Reverse-Engineer”这两个字符串。有内容我们可以猜测，前者就是我们需要的口令，后者就是输入口令正确时程序的反馈信息。

此外，可以看到有“GCC”，说明该恶意程序是用C语言编写的
在主页面上点击View-Graphs-Function calls,查看函数结构

我们可以得出结论，程序是用C语言写的，程序估计是使用strcmp函数来比较口令的，关键的部分在sub_401280

－　接下来我们开始查看sub_401280的汇编代码

cmp [ebo+arg_0],2为判断程序是否有两个参数

在c语言中，main函数通常为int main(int argc,const char **argv)，即第一个参数argc对应argv的大小，第二个参数对应命令行的格式。

如在命令行输入crackme1.exe 1，那么参数对应的值为argc=2,argv={”crackme1.exe”,”1”}

如果argc=2，那么去往loc_4012D2进行下一步判断

如输入"I know the secret"，则继续前往loc_401310

－　测试验证猜想crackme1.exe "I know the secret"

２）crackme２.exe
－　首先，我们先对crackme２.exe进行破解。一开始是尝试运行该程序，试探其输入格式

猜测该程序同样是接受一个参数

－　使用IDA pro工具来打开文件，尝试阅读其汇编语言，验证我们的猜想。，进入String界面，发现明文字符串“I know the secret”和“crackmeplease.exe”

输入"I know the secret"测试，与前者错误提示相同

－　查看整个程序的call flow

关键的部分还是在sub_401280这里，查看汇编代码

cmp [ebp+arg_0],2判断程序参数是否为两个
通过参数个数的判断后，接着去loc_4012D5用strcmp函数对argc里面的第一个字符串，即程序名“crackme2.exe”和“crackmeplease.exe”进行判断

通过判断后，前往loc_401313将用户输入的口令与”I know the secret”判断。

通过判断后，经由loc_401351和loc_401358前往loc_401381、unk_403080


通过口令判断后，通过一定规则输出通过测试的信息

具体是unk_403080中的字符串分别与0x42h进行异或运算

－　测试验证:
输入　copy crackme2.exe crackmeplease.exe，接着输入crackmeplease.exe "I know the secret"

2.3　分析实践任务一：

1.　在winXP虚拟机进行，使用实验一中的rada，使用MD5对该恶意程序进行摘要信息分析

2.　得到md5摘要值为caaa6985a43225a0b3add54f44a0d4c7
file RaDa.exe分析该恶意程序的运行环境，结果为win32位程序，有图形界面

该恶意程序已经经过加壳，实验一中已经完成对其的获取文件类型、检测壳、脱壳与分析
3.　打开监视工具process explorer

C盘中双击运行恶意程序RaDa_unpacked.exe，打开process explorer

4.　在进程监控里点击该恶意程序，右键选择Properties查看详细信息

该恶意程序使用http连接到目标为10.10.10.10的主机下的一个名为RaDa_commands.html的网页上，然后分别下载和上传某些文件，并且在受害主机C盘目录下创建一个文件夹“C:/RaDa/tmp”来保存其下载的文件

将文件RaDa.exe复制到了 C:\RaDa\bin 目录下，可以看出该恶意代码将其自我复制到主机系统盘，并激活了自启动，还试图从一个HTML页面获取并解析命令，故猜测这应该是一个后门程序

还可以发现该恶意程序中可执行DDos拒绝服务攻击

再往下看可以发现该恶意程序对主机的注册表进行了读写和删除操作

5.　打开ｃｍｄ，输入regedit打开注册表查看，未发现有关于RaDa的信息，可能是该恶意程序已经删除了注册表信息

６．再回到属性，可以看到一些指令，exe在宿主主机中执行指定的命令，get下载，put上传，screenshot截屏，sleep休眠

还可以看到更准确详细的作者姓名Raul siles和David Perze

7.　打开和扫描工具wireshark

8.　C盘中双击运行RaDa_unpacked.exe，设定搜索条件ip.addr==10.10.10.10，可以看到受害主机向目标主机 10.10.10.10 发送了大量的数据包

问题回答
（1）提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；
MD5摘要值：caaa6985a43225a0b3add54f44a0d4c7
基本信息：PE32 executable（GUI） Intel 80386 ，for MS Windows
（2）找出并解释这个二进制文件的目的；
是一个后门程序。可以进行http请求，使攻击者远程连接被控主机并进行一些指令操作，同时还修改了注册表使得文件具有开机自启动功能，
（3）识别并说明这个二进制文件所具有的不同特性；
程序被执行时会将自身安装到系统C盘中，并创建文件夹用来存放从攻击主机下载到受控主机的文件和从受控主机获取的文件；同时通过修改注册表的方式使得程序能够开机自启动；具有一定的隐蔽性。
（4）识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；
使用0.89.6版本的UPX壳进行加壳处理；通查看网卡地址判断系统是否运行在虚拟机上，若是则隐藏作者信息
（5）对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；
后门程序。因为该程序不能自主传播，且没有伪装成正常功能的程序，可以供攻击者远程连接并用指令操纵被控主机
（6）给出过去已有的具有相似功能的其他工具；
Bobax – 2004、Windows Update、海阳顶端等后门。
（7）可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？
可能。在非VMware的虚拟机或者Windows下输入--authors参数可以显示作者名字，通过ida或者Process Explorer查看strings也可以找到作者名字是Raul Siles & David Perze，写于2004年。

2.4　分析实践任务二：

回答问题
（1）IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？
IRC指的是因特网中继聊天（Internet Relay Chat）。IRC用户使用特定的用户端聊天软件连接到IRC服务器，通过服务器中继与其他连接到这一服务器上的用户交流。
申请时需要发送口令，昵称和用户信息。格式如下:USER 、PASS 、NICK 。
IRC服务器明文传输通常在6667端口监听，也会使用6660—6669端口。SSL加密传输在6697端口。
（2）僵尸网络是什么？僵尸网络通常用于什么？
僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。
可以一对多地执行相同的恶意行为，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，使得攻击者能够以极低的代价高效地控制大量的资源为其服务。
（3）蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？
1.　本实验使用虚拟机为kali，下载云班课的botnet_pcap_file.dat文件，复制进虚拟机

２．右键使用Wireshark打开数据文件
由第一问可知，IRC服务器明文传输通常在6667端口监听，所以设置的过滤条件ip.src == 172.16.134.191 and tcp.dstport == 6667 and tcp.flags.syn==1

我们可以找到五个IRC服务器，分别为：
209.126.161.29
66.33.65.58
63.241.174.144
217.199.175.10
209.196.44.172
（4）在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

apt-get install tcpflow   #出现tcpflow: command not found时安装更新
tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"    #读取文件，筛选host和端口6667后进行分流

－　接着执行如下两条问题，避免出现字符编码问题，导致计数不准确

export LC_COLLATE='C'
export LC_CTYPE='C'

－　利用如下指令进行搜索有多少主机连接（grep获取昵称输出，sed去除前缀，tr将空格转换为换行，tr -d删除\r，grep -v去除空行，sort -u排序并去除重复，wc -l输出行数）
cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l

得到结果是3457
（5）哪些IP地址被用于攻击蜜罐主机？
－　使用如下指令找出所有连接主机的IP地址（cut -d是指定字段的分隔符，uniq命令用于删除文本文件中重复出现的行），将结果输出到2.txt文件中，wc -l 2.txt显示行数
tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 2.txt;wc -l 2.txt

查找到165个被攻击的端口
（6）攻击者尝试攻击了那些安全漏洞？
－　使用snort -r botnet_pcap_file.dat -c /etc/snort/snort.conf -K ascii指令查看网络流分布情况

可以看到大部分都是TCP包，极少部分是UDP包。
－　接下来进一步筛选出响应的TCP和UDP包，命令如下（注意TCP包的筛选指令多了响应0x12的条件）

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq    //TCP包
tcpdump -r botnet_pcap_file.dat  -nn 'src host 172.16.134.191 and udp ' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq    //UDP包

可以看到TCP响应端口为135、139、25、445、4899、80
UDP响应端口为137

－　wireshark打开pcap文件，首先查看TCP的135和25端口，设定筛选条件
tcp.port135 || tcp.port25

可以看到这两个端口只是进行了连接，并没有数据的交互，猜测攻击者对这两个端口进行了connect扫描
－　接下来分析445端口，445端口是SMB端口，设置过滤条件ip.dst172.16.134.191 and tcp.dstport445

在61.111.101.78发起的请求中发现了PSEXESVC.EXE，这是一种Dv1dr32蠕虫，通过IRC进行通信

为判断是否成功，查找从蜜罐发往61.111.101.78的信息ip.dst==61.111.101.78

发现每个IP地址连入的连接都有响应的回应，并且返回信息中含有\PIPE\ntsvcs，这是一个远程调用，所以攻击者肯定是获得了权限，攻击是成功的

－　然后看80端口，设置筛选条件ip.dst172.16.134.191 and tcp.dstport80 and http

看到210.22.204.101向蜜罐发送了很多的C，可能在进行缓冲区溢出攻击

此外，24.197.194.106发起了很多次连接，这是不停地使用脚本在攻击IIS服务器的漏洞，从而获取系统权限

218.25.147.83也访问了80端口，下方信息中发现了C:\notworm，这是一个红色代码蠕虫攻击。
－　再看4899端口，ip.dst172.16.134.191 and tcp.dstport4899

这个端口只有210.22.204.101访问过，可以查得4899端口是一个远程控制软件radmin服务端监听端口

－　接下来分析UDP的137端口，这个端口是NetBIOS相关协议，ip.dst == 172.16.134.191 and udp.port == 137

可以看到这里的所有IP地址进行访问的负载都是相同的，都是KAAAAA....AA的形式，这里推测应该是在进行NetBIOS查点
（7）那些攻击成功了？是如何成功的？
来自61.111.101.78的PSEXESVC.EXE，即Dv1dr32蠕虫攻击成功了。是通过向对TCP445端口发送含有PSEXESVC.EXE的数据包，且将PSEXESVC.EXE地址改到系统目录下攻击成功的。攻击成功后通过利用SVCCTL漏洞获取目标主机服务。

3.学习中遇到的问题及解决

问题1：统计多少不同的主机访问了以209.196.44.172为服务器的僵尸网络时存在重复计数的问题。
问题1解决办法：
export LC_COLLATE='C'
export LC_CTYPE='C'

4.实践总结

这次实验任务量大、分析内容复杂，需要对汇编语言的熟练掌握，同时学会了使用各种工具来查看文件类型、对加壳文件进行脱壳操作、显示程序的函数逻辑等，对于恶意代码的结构和功能有了更深的理解。