gaoyiming

公告

日历

结果根据参数的数量不同有两种不同的输出，参数数量为1时输出“Pardon? What did you say?”，其他输出“I think you are missing something.”
（2）然后使用IDApro打开该程序并进行分析，打开strings windows后，可以看到之前发现的两种输出提示

查看整个程序的call flow即函数调用如下图，发现函数sub_401280中有strcmp字符串比较函数，以及输出函数，推测可能是通过比较输入是否正确输出对应的提示

现在来分析该可疑函数sub_401280，在function Windows中找到该函数并打开，发现了上述字符串显示中的不同输出提示

从该函数的开始部分可以看出来，是通过判断参数是否为2，且输入是否正确来进行不同的输出。如果不为2，则输出“I think you are missing something.”；如果是2但是输入错误则输出“Pardon? What did you say?”；如果是2且输入正确则输出“You know how to speak to programs, Mr. Reverse-Engineer”

（3）现在知道了正确输入，重新运行程序并正确输入后，输出正确提示!

3.2.2 对crackme2.exe进行分析，寻找特定输入，使其能够输出成功信息

（1）将该文件传入linux，使用file命令查看该文件类型

结果发现该文件和crackme1.exe一样是32位windows平台下的可执行文件，没有图形化界面，所以同样在win中通过命令行运行该程序，

结果跟crackme1.exe的输出类似，根据参数的数量不同有两种不同的输出，参数数量为1时输出“I have an identity problem.”，其他输出“I think you are missing something.”
（2）再次使用IDApro打开该程序并进行分析，打开strings windows后，仍然可以看到之前发现的两种输出提示

查看整个程序的call flow即函数调用如下图，发现函数sub_401280中有strcmp字符串比较函数，一些输出函数，再次猜测是通过比较输入是否正确输出对应的提示

分析该可疑函数sub_401280，发现正确的参数仍然是“I know the secret”，但是运行时的文件名也需要改变为crackmeplease.exe

（3）现在知道了正确输入，现在该文件目录下复制一份该文件，并命名为crackmeplease.exe

再运行该文件，输入正确的文件名和参数，输出正确提示!

3.3 分析自制恶意代码样本rada，并回答问题

3.3.1 收集分析代码信息

（1）获取代码摘要信息

打开process explorer，运行脱壳后的Rada_unpacked，双击该进程，查看Strings窗口，可以看到如下图的信息。

（2）尝试分析相关内容
1. http://10.10.10.10/RaDa可能是恶意软件需要访问的某个Web服务器
1. RaDa_commands.html、cgi-bin、download.cgi、upload.cgi可能是该Web服务器上的资源或脚本，用于数据传输或执行命令
1. C:\RaDa\tmp、C:\RaDa\bin可能是恶意软件在创建目录，用于存放一些内容
1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\这是Windows注册表中的一个路径，用于存储启动时自动运行的程序
1. RaDa、REG SZ、C:\Rada\bin、RaDa.exe可能表示恶意软件将RaDa.exe添加到系统的启动项中，以便每次系统启动时自动运行
1. HKLM\Software\VMware, Inc.\VMware Tools\InstallPath这个注册表路径与VMware Tools的安装路径有关，可能被恶意软件用于攻击VMware环境
1. Starting DDoS Smurf remote attack...表示恶意软件正在远程启动Smurf的DDoS攻击

3.3.2 回答问题

（1）提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

答：摘要：caaa6985a43225a0b3add54f44a0d4c7；信息：32位windows平台下PE格式的图形化的可执行文件，且该文件内部结构包含3个段

（2）找出并解释这个二进制文件的目的；

答：根据上述获取的内容，目的可能是在电脑上安装恶意软件RaDa，设置其自启动模式，并发起smurf DDoS攻击

（3）识别并说明这个二进制文件所具有的不同特性；

答：该文件经过了UPX压缩，具有远程连接的功能，它是可以开机自启动的，能创建自己的工作目录并进行远程攻击的程序

（4）识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

答：该文件使用的反逆向工程的技术是使用UPX加压缩壳。UPX会通过压缩原始代码和劫持入口点隐藏程序逻辑，在运行时解压原始程序的代码，并跳转到原始程序的入口点执行该文件

（5）对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

答：我觉得这个代码属于后门。理由是他不会自我复制和传播，只是通过远程连接控制目标主机执行一些操作，符合后门的特点

（6）给出过去已有的具有相似功能的其他工具；

答：能够生成后门程序的工具有msfvenom和veil

（7）可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

答：可以。通过process explorer找到该程序并展示字符串即可找到版权的所有人即作者Raul Siles && David Perez。由于该文件进行了加壳，所以需要对脱壳文件分析才能找到。

（8）给出至少5种检测该恶意软件的方法，例如基于特征码的方法，需要详细介绍每种方法。

方法一：基于特征码的静态检测：提取恶意软件样本的唯一静态特征，与安全数据库中的恶意特征库比对，一旦匹配则判定为恶意。

方法二：基于行为的动态检测：监控程序运行时的行为特征，匹配恶意行为规则即可判定为恶意软件。

方法三：基于网络流量的异常检测：恶意软件需与C2服务器通信接收指令、回传窃取数据，这样网络流量就会存在异常特征，通过分析数据包流量即可识别恶意软件

方法四：基于注册表的残留检测：恶意软件运行后会残留痕迹，即使该软件被删除，通过残留痕迹仍可以发现异常，进而推测是恶意软件的运行结果

方法五：基于沙箱的检测：让恶意软件在一个安全隔离的环境内运行，全程监控并记录其执行过程中的所有行为，结合预设的恶意行为判定规则推测是否为恶意软件

3.4 取证分析实践

3.4.1 IRC是什么？当IRC客户端申请加入一个IRC网络时将发送哪个消息？IRC一般使用哪些TCP端口？

IRC是互联网中继聊天协议，诞生于1988年，最初用于全球用户的公开聊天、群组讨论
第一步发送基础身份声明消息，包括NICK用来设置客户端的唯一昵称，USER用来声明用户的详细身份；核心是通过发送JOIN消息申请加入指定IRC频道
可以使用默认端口6667，该端口明文传输，无加密；或者加密端口6697，该端口使用SSL加密，称为IRCs；还有一些非默认端口6660-6669

3.4.2 僵尸网络是什么？僵尸网络通常用于什么？

僵尸网络是由黑客控制的大量被感染设备组成的分布式网络，黑客可通过C2通道向所有僵尸机下发统一指令，实现规模化攻击
可用于发起DDoS攻击；发送垃圾邮件和钓鱼邮件；窃取僵尸机自身敏感信息；提高挖矿效率；充当代理跳板等

3.4.3 蜜罐主机（IP地址：172.16.134.191）与哪些IRC服务器进行了通信？

将文件botnet_pcap_file.dat拖入wireshark中打开即可该文件，设置过滤条件为ip.src == 172.16.134.191 and tcp.dstport == 6667，过滤后得到的数据包即是和蜜罐主机通信过的IRC服务器，有209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10

3.4.4 在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

首先需要根据图中步骤在linux中安装工具tcpflower

在win中将botnet_pcap_file.dat传入虚拟机，使用命令tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"，筛选了目标服务器的IP地址和端口。同时会生成一个报告文件report.xml和两个TCP连接流文件，使用标识tcp连接的套接字对命名

查找源ip为209.196.44.172的主机，通过如下命令cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ：//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l
命令解释

grep -a "^:irc5.aol.com 353" 查找以 :irc5.aol.com 353 开头的行

sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ：//g" 删除消息前缀，仅保留用户列表

tr ' ' '\n' 将空格分隔转为换行分隔

tr -d "\15" 删除换行符

grep -v "^$" 删除空行

sort -u 删除重复的行

wc -l 统计最终行数

结果显示有3461个主机访问了该僵尸网络

3.4.5 哪些IP地址被用于攻击蜜罐主机？

在linux中输入命令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20232405.txt;wc -l 20232405.txt
命令解释

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' 读取僵尸网络文件 botnet_pcap_file.dat，过滤发往僵尸机（172.16.134.191）的流量

awk -F " " '{print $3}' 提取每行的源ip字段

cut -d '.' -f 1-4 确保点分ip有完整的4部分格式

sort | uniq | more > 20232405.txt 排序并删除重复的行，并显示输出

wc -l 20232405.txt 统计该文件的行数

结果显示有165个ip用于攻击蜜罐主机，打开生成的文件20232405.txt可以看到具体的ip们

3.4.6 攻击者尝试攻击了那些安全漏洞？

botnet_pcap_file.dat在wireshark中打开，在菜单中统计选项中，找到协议分级，可以发现tcp包占99.7%，udp包占0.3%

在linux中使用命令tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq查找tcp连接的端口；使用命令tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq查找使用udp的端口