20199135-2019-2020《网络攻防实践》第9周作业
20199135-2019-2020《网络攻防实践》第9周作业
| 问题 | 回答 |
|---|---|
| 作业所属课程 | 网络攻防实践(https://edu.cnblogs.com/campus/besti/19attackdefense) |
| 这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10695 |
| 我在这个课程的目标是 | 学习第九章 |
| 这个作业在哪个具体方面帮助我实现目标 | 熟悉linux环境 |
| 作业正文 | 见下文 |
| 参考文献 | 见博客结尾 |
1.实践内容
1.恶意代码
定义:使计算机按照攻击者意图执行以达到恶意目标的指令集。
类型:计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸网络、内核套件。
发展:
2.计算机病毒
定义:一种能够自我复制的代码,通过将自身嵌入到其他程序进行感染,而感染过程通常需要人工干预才能完成。
基本特性:感染性,潜伏性,可触发性,破坏性,衍生性
感染及引导机制:
3.网络蠕虫
定义:一种通过网络自主传播的恶意代码,它的出现相对于传统计算机病毒和木马、后门来说比较晚,但无论是从传播速度、传播范围还是破坏程度上来说,都是以往的恶意代码所无法比拟的,从定义本质上讲,网络蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无须人为干预就能传播。当蠕虫感染了一台计算机,并且在完全控制以后,就会将这台计算机作为传播源,进而扫描并感染其他的脆弱系统。
基本特征:自我复制,通过网络自主传播,不需要宿主,直接通过网络传播,不需要人为干预
组成结构:
4.后门和木马
定义:1.后门是允许攻击者绕过系统常规安全控制机制的程序,能够按照攻击者自己的意图提供访问通道;
2.木马作为特洛伊木马的简称,是指一类看起来具有某个有用或善意目的,但实际上掩盖着一些隐藏恶意功能的程序;
3.只有后门工具伪装成良性程序,这才具备真正的木马特征。
5.僵尸程序与僵尸网络
定义:僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展融合而产生的一种新型攻击方式。
基本特征:僵尸程序为了隐藏自身在受害主机上的存在,会采用一些伪装和欺骗机制,此时也具有特洛伊木马特性,但这并非僵尸程序必有的特征,与后门工具相似,僵尸程序也会为攻击者提供对受害主机的远程控制。
演化过程:
功能结构:
命令与控制机制:基于IRC协议,基于HTTP协议,基于P2P协议的命令与控制机制
6.Rootkit
定义:一类特洛伊木马后门工具,通过修改现有的操作系统软件,使攻击者获得访问权限并隐藏在计算机中。
模式:根据操作系统的分层,Rootkit可以运行在两个不同的层次上,即用户模式和内核模式。
7.恶意代码分析方法
代码分析:是按需求使用一定的规则、方法和工具对计算机程序进行分析,以推导出其程序的结构、数据流程和程序行为的处理过程。
分析环境:恶意代码发烧友的分析环境,基于虚拟化构建恶意代码分析环境
分析技术:静态分析技术与动态分析技术
2.实践过程
1.恶意代码文件的类型识别、脱壳与字符串提取
实验环境:WinXP Attacker虚拟机(安装有cygwin以及基本的脱壳软件和字符串提取工具)。
将含有rada的资料复制到虚拟机,打开cmd,然后进入file RaDa.exe
可以看出看到该程序是一个32位的运行在windows操作系统上的有图形界面的程序。
使用PEID工具,我们可以看到这个是一个版本为0.89.6的UPX壳
接着我们输入strings RaDa.exe去打印该字符串,可以发现都是一群乱码,使用脱壳文件去脱壳
脱壳之后会生成一个新的文件,打印后输出的为有效信息。
再去打印脱壳后的文件,输入strings RaDa_unpacked.exe
2.分析Crackme程序
执行file crackme1.exe和file crackme2.exe来查看两个文件信息
接着我们尝试去输入单个数,数字组,字符串
数字和字符串等都不可行,当我们输入参数的时候,他会统一回复Pardon?所以推测程序输入是一个参数。
接下来用IDA打开该恶意程序进行分析,分析该恶意程序字符串信息,可以看出来除了上面输出反馈的两句话,还有另外两句,但是当我们输入参数时,一直不显示,可以看到有“GCC”,说明该恶意程序是用C语言编写的
然后我们尝试输入“I know the secret”,可以看到输出正确
然后我们分析第二个恶意程序,可以看到无论输入什么参数,其输出没有变化,初步判定该程序输入值只有一个
然后用IDA打开该恶意程序
查看sub_401280,第一部分倒数第二行,cmp [ebp+arg_0],2判断程序参数是否为两个
接着用strcmp函数对argc里面的第一个字符串,即程序名,和“crackmeplease.exe”进行判断
通过程序名判断后,发现用户输入的口令与”I know the secret”有关
3.分析一个自制恶意代码样本rada,并撰写分析报告
首先使用md5sum命令查看摘要信息, md5摘要值为caaa6985a43225a0b3add54f44a0d4c7
我们启动rada后点击其运行以后,在实验主机的C盘下创建了一个RaDa目录,里面一个bin文件夹,一个tmp文件夹,tmp前面分析过是用来临时存储从目标主机下载到受害主机的文件和从受害主机获取的文件信息,而我打开bin文件夹发现里面安装了一个RaDa.exe可执行文件,并且我点击运行的文件在桌面上没有任何提醒信息,只有通过查看进程才能发现,让我一度以为没有开启。
打开process explorer软件进行监测,启动恶意软件rada。右键查看其属性,可以发现rada启动后有如下行为:
该恶意程序使用http连接到目标为10.10.10.10的主机下的一个名为RaDa_commands的网页上,然后分别下载和上传某些文件,并且在受害主机C盘目录下创建一个文件夹“C:/RaDa/tmp”来保存其下载的文件,往下分析发现该恶意程序中可执行DDos拒绝服务攻击
继续往下分析,发现该恶意程序对主机注册表进行了读写和删除操作,然后我们打开注册表查看并未发现有关于RaDa的信息,可能是该恶意程序已经删除了注册表信息
接下来就上传、下载、截屏、休眠
在wireshark中看到主机与10.10.10.10进行了大量的通信,这一点在上一步Process Explore中我们也看到了相同的信息
通过上述的分析大概知道了该恶意代码的目的:在执行程序之后将自己写入系统文件中,并且通过更改注册表使得用户在每次开机时自动启动该程序
这个二进制文件所具有的不同特性:启动后会自动访问10.10.10.10,下载得到RaDa.Commend.html并获得指令
然后重复实践一中的脱壳,用IDA打开进行静态分析
查看全部字符串之前先把类型改为unicode,可以发现这个文件的开发作者是Raul Siles & David Perez
实践4:Windows 2000系统被攻破并加入僵尸网络
分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题
1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送哪个消息?IRC一般使用哪些TCP端口?
IRC一般指的是互联网中继聊天。只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。
每个IRC的使用者都有一个昵称,所有的沟通就在他们所在的Channel内以不同的昵称进行交谈。
一般使用USER 、PASS 、NICK 6667端口(明文传输)、6697端口(SSL加密)
2)僵尸网络是什么?僵尸网络通常用于干什么?
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失
3)蜜罐主机(IP:172.16.134.191)与哪些IRC服务器进行了通信?
筛选ip.src == 172.16.134.191 && tcp.dstport == 6667
观察到共5个IRC服务器,分别为
209.126.161.29
66.33.65.58
63.241.174.144
217.199.175.10
209.196.44.172
4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络。
先用tcpflow进行分流,指令如下:
tcpflow -r botnet.pcap "host 209.196.44.172 and port 6667读取文件,筛选host和端口6667后进行分流
输入如下指令进行搜索有多少主机连接
cat 209.196.044.172.06667-172.016.134.191.01152 | grep "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x
3.学习中遇到的问题及解决
- 问题1:虚拟机打不开rada.rar 文件
- 问题1解决方案:下载压缩文件软件结果卡死,重装后本地解压又复制到虚拟机
- 问题2:遇到实践没思路
- 问题2解决方案:多方参考
4.实践总结
本次实验很懵圈,多方参考后才明白了点
参考资料
很多同学们的博客
