2018-2019-2 20165215《网络对抗技术》Exp4 恶意代码分析

目录

• 实践目标
• 实践内容
• 基础问题回答
• 实验步骤
  • 使用schtasks指令监控系统
  • 使用sysmon工具监控系统
  • 使用VirusTotal分析恶意软件
  • 使用PEiD进行外壳检测
  • 使用PE explorer查看PE文件头中包含代码信息
  • 使用Dependency Walker查看其依赖性、导入与导出模块
  • 使用SysTracer分析后门软件的运行过程
  • 使用wireshark对流量进行抓包分析
• 实验体会

实践目标

1、监控你自己系统的运行状态，看有没有可疑的程序在运行

2、分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件

3、假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质

实践内容

1、系统运行监控

• 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果

• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为

2、恶意软件分析
分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

• 读取、添加、删除了哪些注册表项

• 读取、添加、删除了哪些文件

• 连接了哪些外部IP，传输了什么数据

基础问题回答

1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控

• 使用windows设置一个计划任务，监控系统

• 使用Sysmon，编写配置文件，记录有关的系统日志

• 使用Process Explorer 或 Process Monitor工具，监控主机的网络连接、端口使用、CPU占用情况

2、如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息

• 使用systracer软件，通过快照查看运行情况，查看恶意软件对系统进行了哪些非授权操作，修改了哪些注册表的数据

• 使用Wireshark进行抓包分析，监视其与主机进行的通信过程

• 使用Process Explorer工具或Process Monitor工具，监视文件系统、注册表、进程/线程的活动

实验步骤

使用schtasks指令监控系统

1、使用schtasks /create /TN netstat5215 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务,其中

• TN是TaskName的缩写，我们创建的计划任务名是netstat5215;
• sc表示计时方式，我们以分钟计时即MINUTE；
• TR即Task Run，要运行的指令是 netstat；
• bn中b表示显示可执行文件名，n表示以数字来显示IP和端口;
• >表示输出重定向，将输出存放在c:\netstatlog.txt文件中

2、在C盘中创建一个netstat5215.bat脚本文件，写入以下内容

date /t >> c:\netstat5215.txt
 time /t >> c:\netstat5215.txt
 netstat -bn >> c:\netstat5215.txt

3、打开任务计划程序，可以看到新创建的这个任务

4、双击这个任务， 在常规栏设置使用最高权限运行,在操作栏点击编辑，将其中的程序或脚本改为我们创建的netstat5215.bat批处理文件，参数可选项为空，点击确定

5、运行这个任务，可在netstat52215.bat目录下看到一个txt文本文件，打开就可看到每隔一分钟被输到这里的联网数据

6、等待一段时间后利用excel进行分析，导入文本数据：新建excel文件->数据->获取外部数据->自文本

7、对数据进行统计学分析，生成统计图

分析： 由统计数据可知，联网最多的是是“系统”，其次是浏览器“MicrosoftEdgeCP.exe”、虚拟机运行平台“VMWareexe”。除此之外我们还可以找到后门程序20165215_backdoor.exe、360Tray.exe这些连网的进程

使用sysmon工具监控系统

1、确定键控目标：进程创建ProcessCreate、进程创建时间FileCreatTime、网络连接NetworkConnect、远程线程创建CreateRemoteThread
2、创建配置文件20165215Sysmoncfig.xml，内容如下

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">MicrosoftEdgeCP.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">MicrosoftEdgeCP.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">MicrosoftEdgeCP.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

分析：

• exclude相当于白名单，不用记录。include相当于黑名单。
• Image condition这里要根据自己使用的浏览器更改，例如谷歌浏览器是“chrome.exe”，IE浏览器是“iexplore.exe”，而我的是“MicrosoftEdgeCP.exe”
• 网略连接过滤掉了浏览器的网络连接、源IP为127.0.0.1的网络连接和目的端口为137的连接服务，且查看目的端口为80（http）和443（https）的网络连接。
  • 137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。
  • 127.0.0.1表示本机IP。
• 远程线程创建记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程。
  • explorer.exe是Windows程序管理器或者文件资源管理器
  • svchost.exe是一个属于微软Windows操作系统的系统程序，是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
  • winlogon.exe是Windows NT 用户登陆程序，用于管理用户登录和退出。
  • powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境，两者既可以独立使用也可以组合使用。

3、以管理员身份执行命令sysmon.exe -i C:\20165215Sysmoncfig.txt，安装sysmon

4、如果修改了配置文件，则运行指令sysmon.exe -c C:\20165215Sysmoncfig.txt
5、打开 计算机管理->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational 查看日志

6、分析实验二生成的后门程序20165215_backdoor.exe，执行到回连

7、运行dir时出现了 svchost.exe ，它是微软视窗操作系统里的一个系统进程，管理通过Dll文件启动服务的其它进程，一些病毒木马伪装成系统dll文件通过Svchost调用它，试图隐藏自己

8、运行shell后，我们可以观察到一个后门所在文件夹有关的C:\Windows\SysWOW64\cmd.exe程序

• SysWOW64可以在64bit的Windows中运行32bit的程序，而Windows下的cmd.exe是64bit的，kali回连获取的windows的cmd程序是32位的

使用VirusTotal分析恶意软件

1、在VirusTotal网站上分析通过upx加壳生成的后门

2、查看这个恶意代码的基本属性：可以看出它的SHA-1、MD5摘要值、文件类型、文件大小，以及TRiD文件类型识别结果等内容

3、加壳情况

4、算法库支持

使用PEiD进行外壳检测

1、检测一个没有加过壳的文件

2、选择加过壳的.exe文件路径或者干脆直接把.exe文件拖到里面即可

分析：我们可以看到软件加的UPX的壳，版本是0.89.6，点击扩展信息按钮可以查看详细信息

使用PE explorer查看PE文件头中包含代码信息

1、打开后门程序20165215_backdoor.exe
2、查看程序头部信息

3、查看程序静态数据目录

4、查看程序结头信息

5、工具-反汇编器进行反汇编

6、点击导入查看其引用的dll库

分析：

• msvcrt.dll是微软在windows操作系统中提供的C语言运行库执行文件
• kernel32.dll属于内核级文件,控制着系统的内存管理、数据的输入输出操作和中断处理
• advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关，会受到病毒的侵扰及篡改，导致系统文件丢失、损坏
• wsock32.dll是Windows Sockets应用程序接口，用于支持很多Internet和网络应用程序,是一个对系统很关键或很可疑的文件，易遭受木马病毒（如“犇牛”病毒）破坏导致系统找不到此文件，出现错误提示框。
• ws2_32.dll是Windows Sockets应用程序接口。一些病毒会在杀毒软件目录中建立伪"ws2_32.dll"的文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用，这个所谓的“文件”又不具备系统"ws2_32.dll"文件的功能，所以杀毒软件等就无法运行了而提示：应用程序正常初始化失败。

使用Dependency Walker查看其依赖性、导入与导出模块

使用SysTracer分析后门软件的运行过程

• 使用kali和winddow7两台虚拟机完成
• 点击右侧的take snapshot，存储快照

- 初始创建快照，命名为Snapshot #1
- 回连成功后创建快照，命名为Snapshot #2
- kali端输入```ls```命令后创建快照，命名为Snapshot #3
-  kali端输入```screenshot```命令后创建快照，命名为Snapshot #3

• 点击右下角compare将快照之间进行比较，为了方便对比差异，我们选择Only Difference

• 端口变化

• dlls发生变化

• 查看opened handles的变化

使用wireshark对流量进行抓包分析

回连完成后结束捕获，并把过滤规则设置为ip.addr == 192.168.1.144（此处过滤设置为与kali有关的数据包）

我们可以看到有大量的TCP包，ACK包，有时还伴有PSH+ACK包。（PSH就表示有 DATA数据传输）

实验体会

这次实验的关键在于分析恶意软件的动作，通过使用各种工具分析，我可以知道恶意软件都做了些什么，通过什么操作实现目的。使用各种分析软件不难，但需要花时间学习分析结果。