20252907 2025-2026-2 《网络攻防实践》第八周作业

20252907 2025-2026-2 《网络攻防实践》第八周作业

1.实践内容

1.1 动手实践任务一:Rada恶意代码样本分析

本任务针对提供的Rada恶意代码样本,通过文件类型识别、脱壳处理及字符串提取等操作,获取该恶意代码的编写作者信息,具体操作步骤如下:

  1. 使用文件格式和类型识别工具,对Rada恶意代码样本进行检测,明确样本的文件格式、运行平台以及所使用的加壳工具。
  2. 运用超级巡警脱壳机等专业脱壳软件,对加壳的Rada恶意代码样本执行脱壳处理,还原样本的原始二进制文件。
  3. 借助字符串提取工具,对脱壳后的Rada恶意代码样本进行深度分析,从中筛选并提取与编写作者相关的信息,确定该恶意代码的编写作者。

1.2 动手实践任务二:Crackme程序分析

任务要求:在WinXP Attacker虚拟机环境中,使用IDA Pro工具,通过静态分析或动态分析的方式,对crackme1.exe和crackme2.exe两个程序进行分析,寻找符合要求的特定输入,使程序能够输出成功信息。

1.3 分析实践任务一:自制恶意代码样本Rada分析报告

对自制恶意代码样本Rada进行全面分析,结合相关技术手段和分析结果,回答以下问题,形成完整分析报告:

  1. 提供对该二进制文件的摘要信息,包括能够帮助识别同一样本的基本特征(如文件大小、哈希值、文件头信息等)。
  2. 找出并详细解释该二进制文件的核心目的,明确其设计与运行后要实现的具体功能。
  3. 识别并说明该二进制文件所具备的不同特性,包括但不限于运行机制、传播方式、隐藏方式等。
  4. 识别并解释该二进制文件中采用的防止被分析或逆向工程的技术,如加壳、代码混淆、反调试、反编译等,并说明其具体作用。
  5. 对该恶意代码样本进行分类(如病毒、蠕虫、木马、间谍软件等),并结合样本的特性和功能,给出明确的分类理由。
  6. 列举过去已有的、与该样本具有相似功能的其他工具,并简要说明其相似之处。
  7. 判断是否有可能调查出该二进制文件的开发作者;若可以,说明需要在什么样的环境下、满足哪些限定条件,才能实现对开发作者的追溯。

1.4 分析实践任务二:Windows 2000系统被攻破及僵尸网络关联分析

分析数据源说明:本次分析的数据源为通过Snort工具收集的蜜罐主机5天内的网络数据,已对数据进行编辑,剔除不相关流量并整合为单独的二进制网络日志文件;同时,IP地址及其他特定敏感信息已进行混淆处理,以隐藏蜜罐主机的实际身份和位置。结合该数据源,回答以下问题:

  1. IRC的定义是什么?当IRC客户端申请加入一个IRC网络时,会发送什么消息?IRC通常使用哪些TCP端口?
  2. 僵尸网络的定义是什么?僵尸网络通常被用于哪些场景或用途?
  3. 蜜罐主机(IP地址:172.16.134.191)在观察期间,与哪些IRC服务器进行过通信?
  4. 在本次观察期间,有多少台不同的主机访问了以209.196.44.172为服务器的僵尸网络?
  5. 在观察周期内,哪些IP地址被用于攻击蜜罐主机(IP地址:172.16.134.191)?
  6. 攻击者尝试攻击了蜜罐主机的哪些安全漏洞?其中哪些攻击取得了成功?请详细说明攻击成功的具体过程和原因。

2.实践过程

2.1 追踪rada恶意代码

安装 解压工具unrar。

sudo apt update

sudo apt install unrar

image-20260422160432237

将学习通上的rada.rar下载到kali中。然后用刚刚下载的解压工具unrar进行解压。

unrar x -prada rada.rar

image-20260422161245761

将老师提供的RaDa程序拷贝到虚拟机环境后,在kali虚拟机中使用file命令查看文件的类型,返回的信息显示该文件是一个有GUI图形界面的32位的windows平台上的可移植可执行程序

image-20260422161318922

使用命令strings查看该文件的字符串,输出内容为乱码,说明已经加壳

image-20260422161406201

在windows解压文件后,直接拖拽至winxp即可

image-20260422162029385

使用winXP虚拟机自带的PEid工具查看RaDa.exe的加壳情况,显示加的壳为UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

image-20260422162304181

image-20260422162343867

使用XP虚拟机自带的超级巡警脱壳机软件进行脱壳

image-20260422162420954

image-20260422162539803

输入命令strings RaDa_unpacked.exe | more,查看脱壳后的文件

image-20260422162916475

使用命令RaDa.exe --authors查看文件的作者,作者为Raul Siles & David Perez

image-20260422163156960

2.2 分析Crackme程序

在主机上下载crackme1.exe和crackme2.exe文件后,传输到winxp里面去。

image-20260422163358294

打开IDA分析程序,将Crackme1.exe导入到IDA

image-20260422163832664

image-20260422163957180

查看Crackme1.exe的函数调用图(路径View → Graphs → Function calls)

image-20260422164607563

打开Functions窗口(Shift+F3)在列表中找到 sub_401280(这是 IDA 自动生成的子函数地址标识)。查看sub_401280函数段的代码,其中有特定的输入输出信息,判定输入信息为I know the secret,输出Pardon? What did you say?

image-20260422164856207

按F12查看流程图,得到正确的输入信息为I know the secret,对应的输出信息为You know how to speak to programs, Mr.Reserve-Engineer

image-20260422165012184

同理使用IDA对Crackme2.exe进行分析

image-20260422165119509

查看Crackme2.exe的函数段

image-20260422165141694

查看Crackme2.exe的流程图,根据流程图中提供的信息可知需要先修改文件名为crackplease.exe,再输入I know the secret

image-20260422165331830

2.3 分析恶意样本rada

使用命令md5sum查看RaDa.exe的文件摘要,使用命令file查看RaDa.exe文件的信息

image-20260422165635736

通过 Process Explorer 运行并分析 RaDa.exe 可知:程序执行后会在 C 盘创建 RaDa\binRaDa\tmp 目录,通过修改注册表实现开机自启;运行中会周期性与 10.10.10.10 建立 TCP 连接,将下载数据存入 tmp 文件夹,并将自身复制到 bin 目录,为 DDoS 攻击做准备。

image-20260424145705943

继续对程序行为进行分析可以看到,RaDa.exe 依次执行了注册表读取、写入与删除操作,随后通过 exeputget 指令完成文件下载与数据交互;在执行 screenshot 截图操作后,程序调用了 sleep 函数进入休眠状态。

image-20260424145929986

借助 PEid 工具对 RaDa.exe 进行检测,结果显示该程序经过加壳工具加密处理。程序双击运行后无任何弹窗提示,无可视化交互界面,仅能通过进程列表察觉其运行状态,整体隐蔽性极强。

image-20260424150052635

综合行为特征可判断,RaDa.exe 属于后门程序。该程序的运行完全依赖攻击者下发远程指令,自身不具备主动传播能力,因此不属于病毒与蠕虫;同时程序未采取伪装伪装伪装伪装手段,也不符合木马程序的典型特征。纵观同类恶意样本,2004 年爆发的 Bobax 威胁程序与该样本功能高度相似,同样基于 HTTP 协议访问指定服务器,下载指令文件并完成解析执行。经溯源可知,该恶意程序由 Raul siles 与 David Perze 于 2004 年开发编写。

2.4 分析数据源并回答问题

2.4.1 IRC是什么?当IRC客户端申请加入一个IRC网络时将发送哪个消息?IRC一般使用哪些TCP端口?

IRC 全称互联网中继聊天(Internet Relay Chat),是一款基于客户端 / 服务器架构的实时文本通信协议,多用于群组交流、即时通讯与多人在线会话。用户通过 IRC 客户端连接服务器,即可实现跨节点的文字交互。

当 IRC 客户端请求接入 IRC 网络时,需按流程发送注册报文:

  1. 发送 PASS 消息,完成密码身份校验;
  2. 发送 NICK 消息,设置并提交登录昵称;
  3. 发送 USER 消息,上报用户基础身份信息;
  4. 注册完成后,发送 JOIN 消息,申请加入指定聊天频道。

IRC 常用 TCP 端口如下:

  • 明文默认端口:6667,常规备用端口范围:6660~6669;
  • SSL/TLS 加密通信端口:6697

部分恶意程序会篡改 IRC 标准端口,复用 80、443 等常用业务端口规避流量检测,因此流量识别需结合协议指令特征综合判断,不能仅依靠端口号区分。

2.4.2 僵尸网络是什么?僵尸网络通常用于干什么?

僵尸网络(BotNet),是攻击者利用恶意程序批量感染各类联网终端,统一管控大量受控主机(僵尸主机 / 肉鸡)所形成的恶意受控网络。僵尸主机在后台静默运行,长期与命令控制服务器(C&C)保持通信,接收攻击者下发指令,隐蔽性强、管控集中,是常见的规模化网络攻击载体。

僵尸网络的主要恶意用途如下:

  1. 发起 DDoS 攻击

    整合海量被控主机的带宽与资源,向目标服务器、网站发起分布式拒绝服务攻击,造成业务瘫痪、服务中断。

  2. 批量推送垃圾邮件与恶意广告

    利用受控设备集群大规模群发垃圾邮件、钓鱼信息与恶意推广内容。

  3. 窃取敏感信息

    窃取主机内账号密码、文档数据、隐私资料等敏感信息,实现数据窃取与非法牟利。

  4. 恶意挖矿与资源占用

    劫持设备算力、内存等硬件资源,后台静默运行加密货币挖矿程序,消耗设备性能与电力资源。

  5. 横向渗透与恶意扩散

    以受控主机为跳板,对内网进行探测、渗透攻击,进一步扩大感染范围。

  6. 远程恶意操控

    接收远程指令,执行文件上传下载、远程控制、漏洞利用等各类恶意操作。

2.4.3 蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?

将botnet_pcap_file.dat拷贝到kali虚拟机后再使用wireshark将其打开

image-20260424151046314

由于蜜罐主机 IP 地址为 172.16.134.191,且 IRC 服务默认使用 6667 端口,因此设置流量筛选条件:ip.src == 172.16.134.191 && tcp.dstport == 6667。经过筛选分析,共捕获到 5 个 IRC 服务器通信地址,分别为:209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172。

image-20260424151413815

2.4.4 在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?

在 Kali 虚拟机中安装tcpflow工具(sudo apt install tcpflow -y)后,切换至样本文件botnet_pcap_file.dat所在目录,执行命令:

tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667",以此提取并捕获对应的 IRC 通信数据包。

image-20260424151703906

image-20260424151812429

使用命令搜索cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353.*rgdiuggac @ #x[^x]*x:\/\//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l有多少主机连接,结果显示有3461个主机

image-20260424152944882

2.4.5 哪些IP地址被用于攻击蜜罐主机?

使用命令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > zyx20252907.txt;wc -l zyx20252907.txt找出所有连接主机的IP地址,将IP地址存入zxy20252907.txt文档中,显示有165个IP地址

image-20260424153250699

打开文档查看具体的IP地址

image-20260424153331279

2.4.6攻击者尝试攻击了那些安全漏洞?哪些成功了?如何成功的?

输入命令筛选TCP与UDP包,结果显示有5个TCP端口响应,分别是 135、139、445、4899、80,有1个UDP端口响应137号

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

image-20260424153707604

使用wireshark打开botnet_pcap_file.dat文件,设置筛选条件为tcp.dstport ==135,分析135号tcp端口,只进行了扫描操作

image-20260424153829681

分析139号tcp端口,可以看到建立连接失败,攻击失败

image-20260424153913463

对 445 号 TCP 端口的流量进行分析,并追踪相关 TCP 流后,发现了psexesvc.exe的特征字符串。结合该行为特征可判定,445 端口已受到Dv1dr32 蠕虫的入侵,该蠕虫通常会利用 SMB 协议(445 端口)传播,并通过psexesvc.exe实现远程控制与恶意代码执行。

image-20260424154121687

image-20260424154205537

分析4899号tcp端口

image-20260424154424050

对 TCP 80 端口流量进行分析,攻击主机向靶机持续发送大量异常字符数据;同时,靶机频繁回复 TCP DUP ACK 重复确认错误报文。综合流量异常特征可判断,靶机大概率遭受了缓冲区溢出攻击

image-20260424154642976

image-20260424154701930

设置筛选条件为udp.port==137,分析137号UDP端口,未发现异常,未收到攻击

image-20260424154741192

3.实践总结

本次整体实验任务量大、操作环节繁多,整体难度较高,实操流程较为复杂。实验过程中,结合课程参考资料、教学视频教程以及同学的实验博文,逐步梳理操作思路、排查配置问题,最终顺利完成全部实验内容。

在逐步跟进实操的同时,我逐一理解每一步命令与流量分析操作的原理及实际意义,不再局限于机械复刻步骤。通过本次实验,系统巩固了恶意流量捕获、样本行为分析、端口与协议排查等相关安全知识,尤其熟练掌握了 Wireshark 流量筛选、TCP 流追踪、数据包特征研判等实操技能,大幅提升了网络数据流的分析能力与问题排查能力,对僵尸网络、后门程序、蠕虫攻击等恶意行为的运作机制也形成了更加全面、深刻的认知。

posted @ 2026-04-24 15:49  起个名字叫土匪  阅读(20)  评论(0)    收藏  举报