20242816 2024-2025-2 《网络攻防实践》第8次作业
20242816 2024-2025-2 《网络攻防实践》第8次作业
1 实践内容
1、动手实践任务一
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
2、动手实践任务二:分析Crackme程序
任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。
3、分析实践任务一:
分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
2)找出并解释这个二进制文件的目的;
3)识别并说明这个二进制文件所具有的不同特性;
4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
6)给出过去已有的具有相似功能的其他工具;
7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
4、分析实践任务二:
Windows 2000系统被攻破并加入僵尸网络
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时数据源的IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:
1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
2)僵尸网络是什么?僵尸网络通常用于什么?
3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
5)那些IP地址被用于攻击蜜罐主机?
6)攻击者尝试攻击了那些安全漏洞?
7)那些攻击成功了?是如何成功的?
基础知识
PEID
PEiD 是一款 Windows 平台下广泛使用的可执行文件壳识别工具,主要用于检测可执行文件(如 EXE)的加壳类型。它通过分析程序的特征码,判断是否使用了常见的加壳程序,并显示壳类型、编译器信息等。PEiD 对逆向分析和恶意代码检测具有重要意义,尤其在手工脱壳、静态分析前用于初步判断程序的保护机制。该工具体积小巧,界面简洁,支持插件扩展。
IDA Pro
IDA Pro(Interactive DisAssembler Professional)是一款功能强大的交互式反汇编工具,广泛用于逆向工程、安全分析和恶意代码研究。它支持多种处理器架构和文件格式,能将二进制程序还原为可读的汇编代码。IDA Pro 提供静态分析功能,并通过图形化界面展示函数流程图,便于分析程序逻辑。它还支持插件扩展、脚本自动化,常与调试器结合使用,是逆向分析领域的专业级工具。
超级巡警拖壳器
超级巡警拖壳器是一款用于Windows平台的脱壳辅助工具,主要用于对加壳或加密的可执行文件进行动态脱壳处理。用户只需将目标文件拖入工具界面,它会自动运行程序并尝试在解密代码还原到内存中时进行截取,从而获取脱壳后的原始代码或导出内存镜像。该工具适用于新手进行简单壳的脱壳尝试,配合调试器使用效果更佳,但对于复杂的壳或反调试机制仍需结合人工分析。
Process Explorer
Process Explorer 是由微软 Sysinternals 提供的一款高级系统进程管理工具,被誉为“任务管理器的加强版”。它可以实时显示系统中所有正在运行的进程、线程、CPU 和内存使用情况,以及每个进程打开的句柄、DLL 文件等详细信息。Process Explorer 支持查找文件被哪个进程占用、检测隐藏进程、查看数字签名,常用于排查恶意进程、分析系统性能问题和调试程序。界面直观,功能强大,是系统管理和安全分析中不可或缺的利器。
2 实践过程
2.1 动手实践任务一
2.1.1 在WinXP中打开rada
2.1.2 打开cmd控制命令窗口,输入cd C:\Documents and Settings\Administrator\桌面\rada进入该文件夹
2.1.3 然后输入file RaDa.exe,查看RaDa.exe的运行环境
2.1.4 在开始——>PE——>PEiD里面,打开PEiD工具,查询rada的加壳情况
可以看到有UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo的壳
2.1.5 在开始——>所有程序——>脱壳和加壳工具里面,用超级巡警脱壳机脱壳软件对rada进行脱壳。
2.1.6 在cmd窗口输入strings RaDa_unpacked.exe | more ,对脱壳后的rada进行分析
2.1.7 输入命令:rada --authors,发现作者为:Raul Siles & David Perez
2.1.8 在IDA Pro Free里面也可以看到相关信息
2.2 动手实践任务二
2.2.1 将学习通中的crackme1.exe和crackme2.exe下载并导入WinXP主机中
2.2.2 进入crackme1.exe输入一些数据,查看输出结果
2.2.3 打开IDA分析程序,依旧选择PE可执行程序,选择crackme1.exe
2.2.4 点击Strings窗口,看到了之前的反馈信息
2.2.5 点击View->Graphs->Function calls打开函数调用图
2.2.6 在function里查看401280函数段的代码
2.2.7 F12打开流程图,得到正确输出为You know how to speak to programs, Mr.Reserve-Engineer,正确密码为I know the secret
2.2.8 在命令窗口中验证
2.2.9 同理验证crackme2.exe,在命令窗口尝试不同的输入
2.2.10 与上述步骤相同,查看函数段
2.2.11 查看401280函数段的流程图
2.2.12 按照流程图,需要先修改文件名crackmeplease.exe,再用I know the secret执行
2.3 分析实践任务一
2.3.1 通过md5sum命令查看RaDa.exe文件摘要
2.3.2 通过file命令查看RaDa.exe文件的文件类型
2.3.3 找出并解释这个二进制文件的目的:
运行RaDa_unpacked.exe,在process explorer中双击打开,并查看string,可以看到用http访问目标ip为10.10.10.10,创建临时文件夹C:\RaDa\tmp保存下载文件,然后将RaDa.exe复制到C:\RaDa\bin目录下,准备DDOS攻击
2.3.4 识别并说明这个二进制文件所具有的不同特性:
该程序依次读、写和删除注册表,判断了三个网段10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,然后执行了exe、put、get来下载指定软件,然后用screenshot截图,最后用sleep
2.3.5 识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术:
用PEid检测RaDa.exe,防止被分析的技术为UX 0.89.6-1.02 /1.05-2.90 ->Markus & Laszlo
2.3.6 对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由:
RaDa.exe软件只是从网络上下载软件并且准备进行DDOS攻击,因此判断他为僵尸网络
2.3.7 给出过去已有的具有相似功能的其他工具:
Bobax——2004、Eggdrop、Mylobot
2.3.8 可能调查出这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
在process explorer中可以看到作者是Raul Siles & David Perez
2.4 分析实践任务二
2.4.1 IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC是一种基于客户端-服务器模型的实时文本通信协议,广泛应用于多人在线聊天室和协作环境中。当IRC客户端申请加入一个IRC网络时,必须首先向服务器发送NICK命令以设置昵称,接着发送USER命令提供用户名、主机名、服务器名以及真实姓名等信息,从而完成用户身份的初始注册。IRC协议基于TCP传输,通常使用的端口包括6660至6669以及7000,其中最常用的是6667端口;如果使用SSL加密连接,则通常使用6697端口。该协议结构清晰、文本格式简单,便于开发与调试,因此被广泛应用于开源社区与网络安全实践中。
2.4.2 僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络是指由大量被恶意程序感染、被远程控制的计算机或设备组成的网络,这些“僵尸主机”在用户不知情的情况下被攻击者统一操控。攻击者通过远程指令控制这些主机,执行大规模恶意活动。僵尸网络通常被用于分布式拒绝服务攻击、垃圾邮件发送、凭据窃取、恶意软件传播、加密货币挖矿和信息窃取等非法活动。由于其控制范围广、隐蔽性强且具有规模优势,僵尸网络已成为网络攻击中的主要工具之一,严重威胁网络安全与用户隐私。
2.4.3 蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
在wireshark中打开botnet_pcap_file.dat,设置筛选条件ip.src == 172.16.134.191 && tcp.dstport == 6667,发现五个IRC服务器分别为209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172
2.4.4 在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络:
安装tcpflow,输入tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"来获取IRC数据包
可以看到多了三个文件
输入export LC_COLLATE='C',export LC_CTYPE='C'避免字符编码问题。再使用管道命令进行筛选,输入cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x 😕/g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l。得到3457个主机。
2.4.4 那些IP地址被用于攻击蜜罐主机?
输入tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20242816.txt;wc -l 20242816.txt,找出所有连接主机的IP地址放入20242816.txt文件中,显示有165个。
桌面打开20242816.txt文件中,显示有165个
2.4.6 攻击者尝试攻击了那些安全漏洞?
输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq,筛选TCP包
输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and udp ' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq,这条命令的筛选UDP包。
可以看到,TCP一共有5个端口响应,分别是135、139、445、4899、80号端口。UDP端口一共有1个端口响应,即137号端口。
2.4.7 那些攻击成功了?是如何成功的?
通过tcp.dstport==80,查看所有有关80端口的攻击,可以看到攻击机向蜜罐发送了大量的无意义填充符号,靶机经常性发送错误报告报文,例如TCP Dup ACK和TCP ZeroWindow。这表明靶机遭受了缓冲区溢出攻击。
追踪流可以发现有红色蠕虫攻击的迹象。
输入tcp.dstport==4899,该端口是一个远程控制软件radmin的默认端口,推测应该是为方便后面的蠕虫控制做准备。
输入tcp.port==135,发现只进行了扫描。
输入tcp.port==139,发现连接建立失败,攻击没有成功。
进行tcp追踪,可以看到PSEXESVC.EXE字符串,这说明遭到了Dv1dr32蠕虫的入侵,并且每个IP地址有回应,说明攻击成功。
输入udp.port==137,没有发现攻击。
3 学习中遇到的问题及解决
问题:无法下载tcpflow
解决:软件源没有更新,先输入 apt update再下载就行了
4 实践总结
通过本次实验,我学习掌握了PEID、IDA Pro、超级巡警拖壳器、Process Explorer等软件的使用方法,通过使用这些软件掌握了文件类型识别、脱壳和字符串提取等基本技能。还通过分析恶意软件、分析数据包等分析实验掌握了如何区分攻击者的攻击意图等等知识。让我意识到网络安全的重要性,我们要加强防火墙,保护我们主机的安全,防止被黑客攻击,让我更深刻意识到网络安全的重要性。
5 参考文献
https://bbs.csdn.net/topics/618651708?spm=1001.2014.3001.6377
浙公网安备 33010602011771号