2019-2020 20174318张致豪《网络对抗技术》Exp4 恶意代码分
Exp4 恶意代码分析
前期准备
一、实验目标与实践内容
1.1 实践目标
- 监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
1.2 实践内容
1.系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点是可疑行为。
2.恶意软件分析
分析该软件在启动回连、安装到目标机及其他任意操作时(如进程迁移或抓屏)
该后门软件
- 读取、添加、删除了哪些注册表项
- 读取、添加、删除了哪些文件
- 连接了哪些外部IP,传输了什么数据(抓包分析)
二、软件准备
根据本次实验的要求,从老师所给网站或自行百度下载 Sysmon 、 PEID 、PE Explorer 、 Systracer 、 Wireshark
实验步骤
一、系统运行监控
使用 schtasks /create /TN netstat4318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
命令创建计划任务 netstat4318
TN
是 TaskName 的缩写,我们创建的计划任务名是 netstat4318;sc
表示计时方式,我们以分钟计时填 MINUTE;TR
=Task Run,要运行的指令是 netstatbn
,b
表示显示可执行文件名,n
表示以数字来显示 IP 和端口;>
表示输出重定向,将输出存放在c:\netstatlog.txt
文件中
-
在C盘中创建一个
netstat4318.bat
脚本文件,写入以下内容date /t >> c:\netstat4318.txt time /t >>c:\netstat4318.txt netstat -bn>> c:\netstat4318.txt
-
打开任务计划程序,可以看到新创建的这个任务:
- 双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的
netstat4318.bat
批处理文件,确定即可。
- 还可以自行更改该任务的其他属性,如在"条件"选项卡中可以看到,电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”,那么使用电池电源时就会停止任务。这点需要格外注意,如果没有修改默认操作,任务无论如何都无法执行可能只是因为拔掉了电源。为了我们统计足够多的数据,最好把这个取消掉。
- 使用最高权限运行,否则可能会运行失败。
- 执行此脚本一定时间,就可以在netstat4318.txt文件中查看到本机在该时间段内的联网记录:
-
当记录的数据足够丰富时,停止任务,将所得数据在excel中进行分析,此过程要一直保持开机联网状态才能持续监控
-
等待一段时间(如一天),将存储的数据通过excel表进行整理:
- 导入文本数据:新建excel文件->选择上方“数据”->选择“获取外部数据”->选择“自文本”
-
选择记录连接情况的文本netstatlog.txt,点击“导入”
-
进入文件导入向导第一步,选中“分隔符号”,点击“下一步”
-
进入文件导入向导第二步,选中全部分隔符号,点击“下一步”
-
进入文件导入向导第三步,列数据格式选择常规,点击“完成”。
- 待分析数据如下:
-
对待分析数据进行统计学分析:
- 选中我们要分析的列:
-
点击上方“插入”->“数据透视图”
-
默认选择在一个新工作表中生成
-
在右侧“选择要添加到报表的字段”中点击对应字段右侧的小箭头->取消选择那些没有意义的字段,然后点击“确定”
-
将该字段拖动到下方的“轴字段”和“数值”两个区域中
-
可以看到我们的统计图进行分析了:
如数据图所示,联网最多的就是系统自带的浏览器和 QQ 浏览器,之后便是 Vmware 和 Wechat ,值得注意的是,我们发现了植入的后门程序 「20174318backdoor.exe 」。
二、系统运行监控——利用Sysmon
- 下载SysinternalsSuite.zip并解压。根据自己的系统选择Sysmon版本,电脑是64位的系统,选择Sysmon64.exe,在程序的属性中查看版本信息。
- 确定要监控的目标。对信任的程序设置白名单,减少监控冗余。
- 明确了要监控的目标后,在Sysmon所在的目录下创建相应的配置文件
sysmon20174318.xml
了,配置文件如下:
<Sysmon schemaversion="4.12"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">firefox.exe</Image> </ProcessCreate> <ProcessCreate onmatch="include"> <ParentImage condition="end with">cmd.exe</ParentImage> </ProcessCreate> <FileCreateTime onmatch="exclude" > <Image condition="end with">chrome.exe</Image> <Image condition="end with">firefox.exe</Image> </FileCreateTime> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">firefox.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">firefox.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
- 以管理员身份打开命令行,使用指令
Sysmon.exe -i C:\sysmon20174318.xml
安装 sysmon
- 出现如下错误:
从文件的详细信息查看的版本号是 4.12 ,但提示应该填写 3.10 ,虽然感觉有点前后矛盾,但还是在 .xml 文件中修改下版本号
- 之后便安装成功了
-
在事件查看器中的应用程序和服务日志下,查看
Microsoft->Windows->Sysmon->Operational
。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等。
-
这个配置文件记录的第一个日志就是打开
C:\sysmon20174318.xml
配置文件
-
分析日志,我分析的是自己生成的后门文件进行分析。
- 启动回连到kali
-
- 找到后门的相应日志,查看详细信息,可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等:
-
- 也可以找到其他进程的日志,打开这个事件,可以看到其属于“ NetworkContect ”。同样可以查看详细信息
-
- 另外,我们还捕捉了前一个任务的任务计划监控程序
三、恶意软件分析
静态分析
- 文件扫描(VirusTotal、VirusScan工具等)
- 文件格式识别(peid、file、FileAnalyzer工具等)
- 字符串提取(Strings工具等)
- 反汇编(GDB、IDAPro、VC工具等)
- 反编译(REC、DCC、JAD工具等)
- 逻辑结构分析(Ollydbg、IDAPro工具等)
- 加壳脱壳(UPX、VMUnPacker工具等)
我主要选取以下几种方法和工具来进行分析
(1) 文件扫描(VirScan工具)
- 使用在线VirusTotal对上次实验中生成的加壳隐藏文件进行扫描,有(57/72)个软件发现病毒:
查看这个恶意代码的基本属性:
可以看出它的SHA-1、MD5摘要值、文件类型、文件大小等信息。
(2) 文件格式识别(PEID 工具)
- PEiD (PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过 470 种 PE 文档的加壳类型和签名。
-
先看一下没有加壳的后门程序
-
再看一下加过压缩壳的后门程序:
-
再看一下加过加密壳的后门程序:
- 看来壳加密后这个软件就不能查到了
(3) 反编译、反汇编(PE Explorer工具)
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器,非常好用。
这里主要看文件引用的dll库,可以通过 视图→引入 进行查看,如下图所示:
-
靶机运行后门程序进行回连时,我们可以在 Process Explorer工具中查看到其记录,我们可以看到这个程序运行时子程序中有
conhost.exe
这个程序,同样的程序我们可以在cmd.exe
的子程序中看到,由此我们可以知道该程序是在命令行中运行的。 -
也可以详细查看该进程使用的CPU,虚拟内存空间、物理内存空间、I/O等。
动态分析
- 快照比对(SysTracer、Filesnap、Regsnap工具等)
- 抓包分析(WireShark工具等)
- 行为监控(Filemon、Regmon、ProcessExplorer工具等)
- 沙盒(NormanSandbox、CWSandbox工具等)
- 动态跟踪调试(Ollydbg、IDAPro工具等)
我主要选取以下几种方法和工具来进行分析:
(1)快照比对(SysTracer工具)
- 下载SysTracer工具并设置监听端口号
- 点击右侧的 take snaoshot 存储快照
- 快照一:未移植后门程序
- 快照二:移植后门程序
- 快照三:运行后门程序并在kali中实现回连
- 快照四:在kali中使用
dir
指令 - 快照五:在kali中使用
record_mic
指令
- 五张快照拍摄完成
- 通过右下角的
compare
键或者View Differences Lists
比对各快照,进行分析
- 快照一和快照二:增加了我的后门程序,后面还有很多增加或删减的键值,增加或删减的.dll文件
- 对比快照二和快照三(后门启动前与启动后):
可以看到新增的后门进程,而且可以详细看到其的目的IP和端口号、源IP和端口号以及连接的协议:
而且该后门程序生成了很多文件、目录和键值
- 对比快照三和快照四:kali上执行
dir
指令
增加了很多TCP连接,应该是为了获取windows的目录所以发出了TCP连接请求
- 对比快照四和快照五:kali上执行
record_mic
指令
新建了很多连接,其中有与后门程序相关的Apache HTTP Server
(2)抓包分析(WireShark工具)
回连完成后结束捕获,并把过滤规则设置为 ip.addr == 192.168.0.105
,这里我只想查看和虚拟机IP有关的数据包,所以把没用的包过滤掉
- ping通时的 ICMP 包
-
MSF 反弹连接时的 TCP 包
- dir 时查看包,返回的大豆是 TCP 三次握手的包
- 其余的回连包
实验总结
一、基础问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
『使用 Sysmon 工具,编写配置文件,记录有关的系统日志;
使用 schtasks 指令设置计划任务,定期对主机的联网记录等进行记录;
使用 Sysmon 对事件进行记录,通过事件查看器的任务类别,判断可疑行为,查看连接记录;
使用 Systracer 拍摄不同时间的快照,对比不同时间的快照判断是否有可疑的增删注册表行为。』
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
『 使用Wireshark进行抓包分析,监视其与主机进行的通信过程;
使用systracer工具分析恶意软件,进行快照的对比;
使用Process Explorer查看调用的程序库。』
二、实验总结与体会
本次实验相较于之前几次实验,做起来比较简单,主要是对植入我们主机的恶意代码进行不同方面的分析,包括静态和动态的分析,借助不同的软件,操作起来还是很方便的
针对本次实验的内容,对结果的分析阶段特别考验我们的信息处理能力,明显看到有很多不同,但是分析是又不知道该从何下手,不太清楚每一项具体代表什么含义,只能通过查阅资料,连蒙带猜的进行分析,特别是在抓包或者是拍照的时候,感觉有点力不从心,无从下手。
同时,通过对恶意代码的分析,本次实验也是收获了很多的东西,通过自己动手实践,实现了从攻击者身份到检测、分析者身份的转变,更全面的理解了前两次实验中生成的后门程序到底在做什么,对恶意代码有了更深入的理解。