20241909 2024-2025-2 《网络攻防实践》实践八报告

20241909 2024-2025-2 《网络攻防实践》实践八报告

20241909 2024-2025-2 《网络攻防实践》实践八报告

1.实验内容

动手实践任务一

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

动手实践任务二：分析Crackme程序

任务：在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe，寻找特定的输入，使其能够输出成功信息。

分析实践任务一：

分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：

1、提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

2、找出并解释这个二进制文件的目的；

3、识别并说明这个二进制文件所具有的不同特性；

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

5、对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

6、给出过去已有的具有相似功能的其他工具；

7、可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

分析实践任务二：

Windows 2000系统被攻破并加入僵尸网络

任务：分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源，并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中，同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题：

1、IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

2、僵尸网络是什么？僵尸网络通常用于什么？

3、蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

4、在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

5、那些IP地址被用于攻击蜜罐主机？

6、攻击者尝试攻击了那些安全漏洞？

7、那些攻击成功了？是如何成功的？

2.知识点梳理与总结

2.1恶意代码基础知识

恶意代码（Malware，或Malicious Code）指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。恶意代码根据执行方式、传播方式和对攻击目标的影响分为计算机病毒（Computer Virus）、蠕虫（Worm）、恶意移动代码（Malicious Mobile Code）、后门（Backdoor）、特洛伊木马（Trojan Horse）、僵尸网络（Botnet）、僵尸程序（Bot）、等。反病毒业界通常采用“三元组命名”规则来命名恶意代码。

2.1.1恶意代码分类

现有的恶意代码变种，在实现上可大致分为两类：一类是基于基础技术的共用，恶意代码开发人员通过重用基础模块实现变种；一类是恶意代码专门针对现有防范技术而设计开发的混淆技术。
混淆技术按实现机理，可分为两类：一类是干扰反汇编的混淆，使反汇编无法得到正确结果，从而阻碍进一步分析；另一类是指令/控制流混淆，此类混淆技术通常采用垃圾代码插入、寄存器重分配、等价指令替换及代码变换等方式，改变代码的语法特征，隐藏其内部逻辑关系。
从混淆技术产生作用的层面，可将其分为代码层混淆和行为层混淆两类：代码层混淆通过变形、压缩等方式,模糊、隐藏或改变原有代码特征，从而使基于代码特征的检测失效；行为层混淆则通过垃圾行为插入、执行顺序变换及等价行为替换等方式，改变行为序列或执行流程，使基于行为序列或流程图的检测失效。

2.1.2计算机病毒

计算机病毒在1983年由Fred Cohen首次提出。1994年我国的《中华人名共和国计算机安全保护条例》给出了我国对计算机病毒的具有法规效力的定义。计算机病毒的基本特性：感染性、潜伏性、可触发性、破坏性、衍生性等。计算机病毒潜在的感染目标可分为可执行文件、引导扇区和支持宏指令的数据文件三大类。计算机病毒的传播渠道包括移动存储、电子邮件及下载、共享目录等。

2.1.3网络蠕虫

网络蠕虫是一种通过网络自主传播的恶意代码，可以进行自我复制。蠕虫的内部组成结构有弹头、传播引擎、目标选择算法、扫描引擎和有效载荷。

2.1.4后门与木马

后门是允许攻击者绕过系统常规安全控制机制的程序，能够按照攻击者自己的意图提供访问通道；木马（特洛伊木马）是指一类看起来具有某个有用或善意目的，但实际掩盖着一些隐藏恶意功能的程序。

后门工具能够为攻击者提供多种不同类型的访问通道，包括本地权限提升和本地账号、单个命令的远程执行、远程命令行解释器访问、远程控制GUI、无端口后门等。对于UNIX平台，后门工具则也可以利用inittab系统初始化脚本、inetd网络服务配置、与用户登录或程序激活相关的用户启动脚本、Crond后台程序计划任务来配置自启动等。

特洛伊木马程序的目的有欺骗用户或系统管理员安装特洛伊木马程序、隐藏在计算机的正常程序中等。

2.1.5僵尸网络与僵尸程序

僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展融合而产生的一种新型攻击方式。僵尸网络是指攻击者处于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。僵尸网络具有恶意性和网络传播性。最早出现的IRC僵尸网络由僵尸网络控制器（botnet controller）和僵尸程序两部分组成。

僵尸程序分为主体功能模块和辅助功能模块，主体功能模块包括命令与控制模块和传播模块，辅助功能模块包括信息窃取模块、主机控制模块、下载更新模块和防分析检测模块。当前主流的僵尸网络命令与控制机制有基于IRC协议的命令控制机制、基于HTTP协议的命令与控制机制和基于P2P协议的命令与控制机制三大类。

2.2恶意代码检测

恶意代码检测方法，可以分为基于启发式(heuristic-based)的检测和基于特征(signature-based)的检测两大类。
基于启发式的检测方法，通过比较系统上层信息和取自内核的系统状态来识别隐藏的文件、进程及注册表信息。还有一些研究工作通过监控系统特定资源来识别恶意代码。根据预先设定的规则判断恶意代码存在的可能性，其优势在于可检测新恶意代码样本；但其规则的生成依赖于分析人员的经验，在应用中易引发高误报及漏报率，因此在实际检测系统中应用较少。
基于特征的检测方法，则根据由恶意代码中提取的特征进行检测，与基于启发式的检测方法相比，具有效率高、误报率低等优点，因此被广泛应用于恶意代码检测工具之中，是目前恶意代码检测比较常见的方法。

2.3恶意代码分析

恶意代码分析，一般分为静态分析和动态分析两种。
静态分析会首先对可执行程序进行反汇编，在此基础上，分析并提取代码的特征信息。可以看出，静态分析本身并不需要实际执行代码，因此，不会对系统产生实质上的危害。但是，由于静态所分析的代码不一定是最终执行的代码，可能消耗大量时间于无用代码。于此同时，静态分析对反汇编技术的依赖也导致了其局限性。首先，恶意代码可使用各种混淆技术阻碍反汇编分析，主要有重排、加壳、垃圾代码插入等方法，有很多工作都试图将混淆代码恢复为混淆前的代码，来提高检测能力。但很多时候不能解决寄存器重分配、等价替换等其他混淆手段。
动态分析，则是在代码执行过程中进行分析，直接执行所分析的代码，但动态分析一次执行过程只能获取单一路径行为，而一些恶意代码存在多条执行路径，有一部分工作建立系统快照递归探索多执行路径的方法，使得动态分析方法有所进步。此外还开发了一系列动态分析工具来辅助人工分析如CWSandbox等。

3实践过程

3.1动手实践任务一

任务：对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者。

3.1.1使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；

实验环境：WinXPattacker
实验材料：由老师提供在学习通的rada
第一步查看文件类型，通过命令cd+位置找到对应文件

键入命令file Rada.exe查看文件类型，查看该文件类型，是一个有图形化界面（GUI）的 Win32 PE（可移植可执行）程序。其中 PE32 表示这是一个32位的运行在windows操作系统上的程序， GUI 表示这个程序是一个有图形界面的程序， intel 80386 表示处理器架构。

通过命令cat Rada.exe可以看到显示文件内容

可以看到其内容为乱码查看相关的资料发现，其可能是加壳了。使用PEiD对该文件查壳。下面为PEiD的位置

打开后选择Rada的路径，可以看到Rada.exe加了UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo壳。

3.1.2使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理。

既然有壳，就要去壳，在windows开始界面找到，超级巡警脱壳机脱壳软件

打开软件后选择路径，即可脱壳，并且其脱壳的输出路径与Rada.exe在同一目录.。

3.1.3对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

通过命令提示符对脱壳后的文件进行查看，输入strings RaDa_unpacked.exe如下

可以看到出现大量函数调用名以及其他有用字符串，但是并未查找到作者信息。改用他法。通过资料查找发现还可以使用IDA PRO Free 工具。

将脱壳后的文件直接拖入即可分析，可以成功找到作者信息和发布时间，还有邮箱等。

3.2动手实践任务二

实验环境：WinXPattacker
实验材料：由老师提供在学习通的crackme1.exe、crackme2.exe
实验工具：IDA Pro
实验目的：寻找特定的输入，使其能够输出成功信息。

3.2.1分析crackme1.exe

对其输入参数进行试探，分别输入1个、2个、3个参数…，直到出现重复的回复。可以看到只有在输入一个参数的时候它的回复和其他的不一致，所以猜测输入应该为一个参数。

按照实验给的提示，我们使用IDA Pro工具，进行分析。

发现在Strings窗口一共发现四个字符串，分别是

I think you are missing someting
I know the secret
Pardon？What did you say？
You know how to speak to programs，Mr.Reverse—Engineer
根据前面的猜猜发现只出现过两句，所以根据内容猜测
think you are missing someting是输入的参数数量不正确
Pardon？What did you say？是从参数数量正确，但可能参数的内容或范围不正确。所以目标应该放在没有出现的两句上。
找到代码中输出 ”I know the secret“的地方右键点击Edit function

可以发现是sub_401280中的输出。

有了目标就可以查看这个exe执行程序他的调用函数图，查看哪里会调用该函数依次点击ida veiw——veiw——Gragh——Function calls。

I know the secret是函数sub_401280中的输出。
从函数调用图中可以看到sub_401280函数调用的strcmp比较函数，fprintf、printf输出函数，以及sub_401510和sub_401840函数，首先查看sub_401280函数的汇编源码易知道其汇编码就是401280，如图所示。

查看sub_401280函数的流程图通过依次点击ida veiw——veiw——Gragh——Flow Chat，查看流程图，如图所示

从上图可以看到如果命令行输入两个参数，(crackme1.exe也算一个参数，所以实际上就是crackme1.exe + 一个参数)则跳转至loc_4012D2。然后比较该参数是否是”I know the secret”，是的话，输出You know how to speak to programs, Mr. ...；否则，输出Pardon? What did you say?；
如果命令行输入参数个数不为2，则输出I think you are missing something.

验证上述猜测

3.2.2分析crackme2.exe

和上一步类似，我们先对crackme2.exe输入的参数个数进行测试，可以看到仍然是输入一个参数的时候，和输入其他数量的参数时不一致，因此还是猜测输入的参数是1个。

与上一步类似依旧使用IDA Pro工具分析可以发现Strings窗口发现五个字符串，其中 I think you are missing something.和I have an identity problem.在进行参数猜测时出现过，猜测：

I think you are missing something.是输入的参数数量不正确的情况；
I have an identity problem.是参数数量正确，但可能参数的内容或者范围不正确；
另外3句没有出现过，还是和上一步一致，接下来应该找i know the secret。
查看i know the secret的来源可以发现，还是在函数sub_401280中。

和之前一样，查看sub_401280的汇编值，可以发现仍为401280。

查看sub_401280函数的流程图

从上图可知，如果命令行输入两个参数，则跳转至loc_4012D5；
比较第一个参数是否为”crackplease.exe”。
是的话，比较是否为第二个参数”I know the secret”；
是的话，输出We have a little secret : Chocolate；
否则，输出Pardon? What did you say?；
否则，输出I have an identity problem.。
如果命令行输入参数个数不为2，则输出I think you are missing something.
验证如下

3.3分析实践任务一：分析一个自制恶意代码样本rada

通过学习md5sum命令用于生成和校验文件的md5值，是一种逐位校验文件内容的算法。故这里使用md5sum命令查看Rada.exe文件摘要

可以看出摘要为caaa6985a43225a0b3add54f44a0d4c7
运行RaDa.exe，使用监视工具 process explorer 和 wireshark 开启监听，分析该恶意代码的目的IDA 对RaDa_unpacked.exe进行分析
在Strings 对话框，在菜单栏中的Edit中点击Setup，设置类型为 Unicode：

查看Strings信息参数：可以看到作者和日期信息

分析其程序运行详细信息：

HTTP请求 10.10.10.10\RaDa\RaDa_commands.html ，连接到目标为10.10.10.10的主机下的一个名为RaDa_commands的网页。
之后又下载和上传文件到 C:/RaDa/tmp 。
将文件 RaDa.exe 复制到了 C:\RaDa\bin 目录下。往下看可以发现该恶意程序似乎对主机实行了DDos拒绝服务攻击

再往下看可以发现该恶意程序对主机的注册表进行了读写和删除操作
exe 在宿主主机中执行指定的命令， get 下载， put 上传， screenshot 截屏， sleep 休眠。

使用wireshark进行分析，可以看到受害主机向目标主机 10.10.10.10 发送了大量的数据包：

宿主主机C:\RaDa\bin目录下确实存在RaDa.exe。

答案总结：

1.提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息：摘要为caaa6985a43225a0b3add54f44a0d4c7；使用了UPX加壳工具进行了加壳处理，加壳方式： UPX
0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
2.找出并解释这个二进制文件的目的：这个二进制文件通过网络获取指令，连接互联网时，该恶意程序就会通过http请求连接到指定主机，进行接受攻击者指令操作，并且攻击者可以完全控制该系统，所以这应该是一个后门程序。
3.识别并说明这个二进制文件所具有的不同特性：该程序启动之后将自己复制到c盘之中，并且每过一段时间就会尝试与10.10.10.10建立tcp连接
4.识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术： UPX加壳；通过查看网卡的 MAC 地址以及查看 VMware Tools 的注册表项来判断操作系统是否运行在 VMware 虚拟机上，如果是，则使用–authors参数时将不会输出作者信息；
一些干扰字符串Starting DDoS Smurf remote attack，让分析者误认为是程序执行 DDoS 攻击，实际上并没有。
5.对这个恶意代码样本进行分类(病毒、蠕虫等)，并给出你的理由：这个样本不具有传播和感染属性，所以不是病毒或者蠕虫；没有将自己伪装成有用的程序以欺骗用户运行，所以他也不属于木马；所以应该是一个后门程序，如果是多对一控制，还可能是 HTTP
Bot（僵尸程序）
6.给出过去已有的具有相似功能的其他工具： Bobax——2004也是使用HTTP协议从指定的服务器下载命令文件，然后解析并执行其中的指令
7.可能调查出这个二进制文件的开发作者吗?如果可以，在什么样的环境和什么样的限定条件下? 作者为Raul siles 和 David Perze。使用ida或strings能查看，或者在非vmware环境下执行–authors参数。

3.4分析实践任务二：

任务：分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源，并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中，同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。
回答问题

1.RC是什么？当IRC客户端申请加入一个IRC网络时将发送哪个消息？IRC一般使用哪些TCP端口？ IRC是Internet Relay Chat
的英文缩写，中文一般称为互联网中继聊天。只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快，聊天时几乎没有延迟的现象，并且只占用很小的带宽资源。
所有用户可以在一个被称为"Channel"(频道)的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname(昵称)，所有的沟通就在他们所在的Channel内以不同的Nickname进行交谈。
申请加入的时候要发送口令、昵称和用户信息：USER 、PASS 、NICK 6667端口（明文传输）、6697端口（SSL加密）
2.僵尸网络是什么？僵尸网络通常用于干什么？僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络
攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。
利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息
Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等
攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失
3.蜜罐主机(IP:172.16.134.191)与哪些IRC服务器进行了通信？
使用Wireshark打开数据文件，并设置过滤条件ip.src == 172.16.134.191 && tcp.dstport ==6667，因为我们上面的分析知道IRC通过6667端口，我们可以找到五个IRC服务器209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172
4.在这段观察期间，多少了解不同的主机访问了以209.196.44.172为服务器的僵尸网络。

通过命令tcpflow -r botnet_pcap_file.dat “host 209.196.44.172 and port 6667“去tcpflow分流筛选指定host与端口6667
tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"
产生了三个文件，分别是：209.196.044.172.06667-172.016.134.191.01152、172.016.134.191.01152-209.196.044.172.06667、report.xml

查看配置文件report.xml
可获知两个主机互相通信的时间、IP、mac地址、使用端口、包裹数等信息
使用管道命令进行筛选，获取僵尸网络上的主机数
grep搜索获取昵称输出行；sed：去除前缀；tr：将空格转换为换行；tr -d删除\r；grep -v：去除空行；sort -u排序并去除重复；wc -l：输出行数
cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x 😕/g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l

可以看到有3461台主机访问了以209.196.44.172为服务器的僵尸网络。

5.哪些IP地址被用于攻击蜜罐主机？
使用下面的指令找出所有的可能连接的主机的IP地址
tcpdump -n -nn -r botnet.pcap 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > ip.txt;wc -l ip.txt

可以看到共有165个主机,具体IP值存储在文件ip.txt中
6.攻击者尝试攻击了哪些安全漏洞？
筛选有响应的TCP端口，即SYN/ACK标志为1
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq输出可以看到TCP响应端口为135(rpc),139(netbios-ssn),25(smtp),445(smb),4899(radmin),80(http)。

筛选有响应的UDP端口
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
7.哪些攻击成功了？是如何成功的？
分析137号端口
udp 137号端口，这个是在局域网中提供计算机的IP地址查询服务，处于自动开放状态，所以访问这个端口肯定就是 NetBIOS 查点了。
分析139号端口数据包
tcp.dstport == 139 and ip.dst == 172.16.134.191
分析25号端口数据包
tcp.dstport == 25 and ip.dst == 172.16.134.191

发现攻击者对135、139和25号端口都只是进行了连接，并没有数据传输，故只是对端口进行了查点或connect扫描。
分析445号端口数据包
tcp.dstport == 445 and ip.dst == 172.16.134.191

这个端口连接非常多，可以看到许多 \samr，\srvsvc 字符串。61.111.101.78向蜜罐放了PSEXESVC.EXE，这是一种Dv1dr32蠕虫病毒的特征码，这种蠕虫正是通过IRC进行通信，攻击者对系统注入了蠕虫病毒并成功获取了远程调用。对445端口实施的攻击是成功的。
分析4899号端口数据包
tcp.dstport == 4899 and ip.dst == 172.16.134.191

只有 IP 地址 210.22.204.101 访问过。4899 端口是一个远程控制软件 radmin 服务端监听端口，这个软件不是木马，应该是上面攻击成功后上传这个软件方便控制。
分析80号端口数据包
tcp.dstport == 80 and ip.dst == 172.16.134.191
24.197.194.106访问80端口

连接最多的就是24.197.194.106 这个IP，他的行为就是不停的用脚本攻击 IIS 服务器的漏洞，从而获取系统权限。
210.22.204.101访问80端口
猜测攻击者是想通过缓冲区溢出攻击来获得一个命令行。
218.25.147.83访问80端口

追踪其tcp流会看到
这里会看到c:\notworm，说明这是一个蠕虫攻击。上网搜索发现是红色代码（red code）病毒。
其余的 ip 地址均为正常访问蜜罐