20212801 2021-2022-2 《网络攻防实践》第八次作业

1.实践要求

动手实践任务一

对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:

(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

动手实践任务二:分析Crackme程序

任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。

分析实践任务一:

分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:

1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;

2、找出并解释这个二进制文件的目的;

3、识别并说明这个二进制文件所具有的不同特性;

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;

5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;

6、给出过去已有的具有相似功能的其他工具;

7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

分析实践任务二:

Windows 2000系统被攻破并加入僵尸网络

任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:

1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?

2、僵尸网络是什么?僵尸网络通常用于什么?

3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?

4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?

5、那些IP地址被用于攻击蜜罐主机?

6、攻击者尝试攻击了那些安全漏洞?

7、那些攻击成功了?是如何成功的?

 

2.实践内容

动手一:

 查看可执行文件信息

 去壳

 用IDA打开去壳后的可执行文件

 作者信息

动手二:

 直接运行无果后用IDA打开

 打开String标签判断应该是由执行密码

打开调用函数图,判断核心函数应该是401480

 

 打开401480的函数分析

 

 试一试,成功了

 一样的流程,分析第二个

 直接打开函数图,发现跟前一个程序大同小异

 还是这个

 函数段多了点东西

 

 

 试一试,不行

 仔细看看

 改了个名

 行了

 

 分析一:

查看rada.exe信息

 打开监视器

 运行脱壳后的rada

 抓包发现对10.10.10.10疯狂发包

 分析一下

 http请求了一个html

 设置自启动

 创了个文件夹,放东西

 让靶机作为僵尸发动ddos攻击

 问题:

1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;

2、找出并解释这个二进制文件的目的;

让靶机变成僵尸。

3、识别并说明这个二进制文件所具有的不同特性;

一旦运行,靶机直接变成攻击者控制的僵尸,程序把自己放到c盘,并设置开机自动启动。

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;

加了个壳

5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;

程序不大量复制自己,是个用于让靶机变僵尸的后门程序。

6、给出过去已有的具有相似功能的其他工具;

Setiri

7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

在IDA的string标签下看到

 

实践二:

Windows 2000系统被攻破并加入僵尸网络
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:
1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?

  因特网中继聊天(Internet Relay Chat),一般称为互联网中继聊天,简称:IRC。

  注册时需要发送的消息有三种,分别是口令,昵称和用户信息。例如,有三个服务器,连接方式为 A-B-C. 在服务器A上,有第一个用户进入 #IRC 频道,这时,服务器A上即创建频道"#IRC",A 将频道 "IRC" 的创建消息发给 B 和 C. 由于 B 和 C 上都没有用户位于 #IRC 频道,因此不执行任何操作. 在这以后,服务器C上有 一个用户进入 #IRC 频道,此时服务器C上也创建频道 "#IRC",C 将"#IRC" 的创建消息发给 A 和 B. 之后,需要执行以下操作: B 上建立频道 "#IRC" 并将 A 与 C 的 "#IRC" 频道连接起来,组成一个统一的#IRC . 虽然 B 上没有用户位于 #IRC 频道内,但是 B 上也开通了 #IRC 频道. 可见,频道好像一条通信管道,将所有开通此频道的服务器贯穿起来,信息流在这个管道中流通。

  IRC使用的服务器端口有6667


2、僵尸网络是什么?僵尸网络通常用于什么?

  僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

  攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。


3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?

ip.src == 172.16.134.191 and tcp.dstport == 6667

 

 找到五个IRC服务器

 

 


4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?

tcpflow

 

 tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667,查看报告

 

 找到ip、端口号

 

 cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l(去空格、前缀、取ID、去重、显示行数。。。。)

 

 

5、那些IP地址被用于攻击蜜罐主机?

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > tcpdump.txt;wc -l tcpdump.txt

 

6、攻击者尝试攻击了那些安全漏洞?

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq,发现攻击的端口是135、139、25、445、4899、80

 135,简单的三次握手

 

 

 udp 137

这个是个在局域网中提供计算机的IP地址查询服务,处于自动开放状态,所以访问这个端口肯定就是NetBIOS查点了。

 

 

 25,都是连接,可能是connect扫描

 

tcp.dstport == 80 || ip.dst == 172.16.134.191,80端口 ,脚本攻击lls服务器,进而获得系统权限,用脚本记录多

 

 

 

 

 好多c,判断是缓冲区溢出攻击

 

 

 蠕虫攻击

 

 

对80端口失败

 

 

 tcp.dstport == 139 && ip.dst == 172.16.134.191,对SMB攻击没成功

 

 

 蠕虫攻击,使用IRC通信,成功了

 

 

 tcp.dstport == 4899 && ip.dst == 172.16.134.191,radmin通过服务端监听控制靶机。

7、那些攻击成功了?是如何成功的?

SVCCTL服务漏洞攻击成功

PSEXESVC蠕虫攻击成功

3.学习中遇到的问题及解决
windows attack一直非常的卡,试了好多种方法都不行,结果到了周天的下午老闫一句”是不是你磁盘坏了?“,抱着试一试的想法把虚拟机文件挪到了固态硬盘里,结果就好了,做到晚上也没做完,周一再做吧。整完了。
4.学习感想和体会
电脑真的是非常复杂,有时候问题的解决往往出乎人的意料,得换个磁盘了。
posted @ 2022-05-08 22:23  besti-ttyy  阅读(73)  评论(0编辑  收藏  举报