2019-2020 20174318张致豪《网络对抗技术》Exp4 恶意代码分

Exp4 恶意代码分析

前期准备

一、实验目标与实践内容

1.1 实践目标

监控你自己系统的运行状态，看有没有可疑的程序在运行。

分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

1.2 实践内容

1.系统运行监控

使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。
安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点是可疑行为。

2.恶意软件分析

分析该软件在启动回连、安装到目标机及其他任意操作时（如进程迁移或抓屏）

该后门软件

读取、添加、删除了哪些注册表项
读取、添加、删除了哪些文件
连接了哪些外部IP，传输了什么数据（抓包分析）

二、软件准备

根据本次实验的要求，从老师所给网站或自行百度下载 Sysmon 、 PEID 、PE Explorer 、 Systracer 、 Wireshark

实验步骤

一、系统运行监控

使用 schtasks /create /TN netstat4318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 命令创建计划任务 netstat4318

TN 是 TaskName 的缩写，我们创建的计划任务名是 netstat4318;
sc 表示计时方式，我们以分钟计时填 MINUTE；
TR =Task Run，要运行的指令是 netstat
bn , b表示显示可执行文件名，n 表示以数字来显示 IP 和端口;
> 表示输出重定向，将输出存放在 c:\netstatlog.txt 文件中

在C盘中创建一个 netstat4318.bat 脚本文件，写入以下内容

date /t >> c:\netstat4318.txt
time /t >>c:\netstat4318.txt
netstat -bn>> c:\netstat4318.txt

打开任务计划程序，可以看到新创建的这个任务：

双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的 netstat4318.bat 批处理文件，确定即可。

还可以自行更改该任务的其他属性，如在"条件"选项卡中可以看到，电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”，那么使用电池电源时就会停止任务。这点需要格外注意，如果没有修改默认操作，任务无论如何都无法执行可能只是因为拔掉了电源。为了我们统计足够多的数据，最好把这个取消掉。

使用最高权限运行，否则可能会运行失败。

执行此脚本一定时间，就可以在netstat4318.txt文件中查看到本机在该时间段内的联网记录：

当记录的数据足够丰富时，停止任务，将所得数据在excel中进行分析，此过程要一直保持开机联网状态才能持续监控
等待一段时间（如一天），将存储的数据通过excel表进行整理：

导入文本数据：新建excel文件->选择上方“数据”->选择“获取外部数据”->选择“自文本”

选择记录连接情况的文本netstatlog.txt，点击“导入”
进入文件导入向导第一步，选中“分隔符号”，点击“下一步”

进入文件导入向导第二步，选中全部分隔符号，点击“下一步”

进入文件导入向导第三步，列数据格式选择常规，点击“完成”。
待分析数据如下：

对待分析数据进行统计学分析：

选中我们要分析的列：

点击上方“插入”->“数据透视图”

默认选择在一个新工作表中生成

在右侧“选择要添加到报表的字段”中点击对应字段右侧的小箭头->取消选择那些没有意义的字段，然后点击“确定”

将该字段拖动到下方的“轴字段”和“数值”两个区域中

可以看到我们的统计图进行分析了：

如数据图所示，联网最多的就是系统自带的浏览器和 QQ 浏览器，之后便是 Vmware 和 Wechat ，值得注意的是，我们发现了植入的后门程序「20174318backdoor.exe 」。

二、系统运行监控——利用Sysmon

下载SysinternalsSuite.zip并解压。根据自己的系统选择Sysmon版本，电脑是64位的系统，选择Sysmon64.exe，在程序的属性中查看版本信息。

确定要监控的目标。对信任的程序设置白名单，减少监控冗余。
明确了要监控的目标后，在Sysmon所在的目录下创建相应的配置文件 sysmon20174318.xml 了，配置文件如下：

<Sysmon schemaversion="4.12">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">firefox.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include"> 
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

以管理员身份打开命令行，使用指令 Sysmon.exe -i C:\sysmon20174318.xml 安装 sysmon

出现如下错误：

从文件的详细信息查看的版本号是 4.12 ，但提示应该填写 3.10 ，虽然感觉有点前后矛盾，但还是在 .xml 文件中修改下版本号

之后便安装成功了

在事件查看器中的应用程序和服务日志下，查看 Microsoft->Windows->Sysmon->Operational。在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等。

这个配置文件记录的第一个日志就是打开C:\sysmon20174318.xml配置文件

分析日志，我分析的是自己生成的后门文件进行分析。

启动回连到kali

- 找到后门的相应日志，查看详细信息，可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等：

- 也可以找到其他进程的日志，打开这个事件，可以看到其属于“ NetworkContect ”。同样可以查看详细信息

- 另外，我们还捕捉了前一个任务的任务计划监控程序

三、恶意软件分析

静态分析

文件扫描（VirusTotal、VirusScan工具等）

文件格式识别（peid、file、FileAnalyzer工具等）

字符串提取（Strings工具等）

反汇编（GDB、IDAPro、VC工具等）

反编译（REC、DCC、JAD工具等）

逻辑结构分析（Ollydbg、IDAPro工具等）

加壳脱壳（UPX、VMUnPacker工具等）

我主要选取以下几种方法和工具来进行分析

（1）文件扫描（VirScan工具）

使用在线VirusTotal对上次实验中生成的加壳隐藏文件进行扫描，有（57/72）个软件发现病毒：

查看这个恶意代码的基本属性：

可以看出它的SHA-1、MD5摘要值、文件类型、文件大小等信息。

（2）文件格式识别（PEID 工具）

PEiD (PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过 470 种 PE 文档的加壳类型和签名。
先看一下没有加壳的后门程序

再看一下加过压缩壳的后门程序：

再看一下加过加密壳的后门程序：

看来壳加密后这个软件就不能查到了

（3）反编译、反汇编（PE Explorer工具）

PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。该软件支持插件，你可以通过增加插件加强该软件的功能，原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器，非常好用。

这里主要看文件引用的dll库，可以通过 视图→引入 进行查看，如下图所示：

靶机运行后门程序进行回连时，我们可以在 Process Explorer工具中查看到其记录，我们可以看到这个程序运行时子程序中有conhost.exe这个程序，同样的程序我们可以在cmd.exe的子程序中看到，由此我们可以知道该程序是在命令行中运行的。
也可以详细查看该进程使用的CPU，虚拟内存空间、物理内存空间、I/O等。

动态分析

快照比对（SysTracer、Filesnap、Regsnap工具等）

抓包分析（WireShark工具等）

行为监控（Filemon、Regmon、ProcessExplorer工具等）

沙盒（NormanSandbox、CWSandbox工具等）

动态跟踪调试（Ollydbg、IDAPro工具等）

我主要选取以下几种方法和工具来进行分析：

（1）快照比对（SysTracer工具）