2019-2020-2 20175303柴軒達《網絡對抗技術》Exp4 惡意代碼分析
1 基礎知識
1.1 惡意代碼的概念與分類
- 定義:
又稱惡意軟件,指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件。
指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。 - 特征:
惡意的目的
本身是計算機程序
通過執行發生作用 - 分類:
計算機病毒、蠕蟲、后門、特洛伊木馬、Rootkit
1.2 惡意代碼的分析方法
- 靜態分析
- 動態分析
1.3 實踐目標
- 監控系統的運行狀態,看有沒有可疑的程序在運行。
- 分析一個惡意軟件,就分析Exp2或Exp3中生成后門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件。
- 假定將來工作中你覺得自己的主機有問題,就可以用實驗中的這個思路,先整個系統監控看能不能找到可疑對象,再對可疑對象進行進一步分析,好確認其具體的行為與性質。
2 實踐內容及步驟
2.1 系統運行監控
2.1.1 Windows計划任務schtasks
- 輸入以下命令,每五分鍾記錄下有哪些程序在連接網絡。此命令完成后,每隔2分鍾就會監測哪些程序在使用網絡,並把結果記錄在netstatlog.txt文檔里。
schtasks /create /TN netstat5303 /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
上條命令中的參數分別為:
TN是TaskName的縮寫,我們創建的計划任務名是netstat5303;
sc表示計時方式,我們以分鍾計時填MINUTE;
TR是Task Run,要運行的指令是netstat
bnb表示顯示可執行文件名,n表示以數字來顯示IP和端口;
>表示輸出重定向,將輸出存放在c:\netstatlog.txt文件中
在C盤中創建一個名為netstat5303.bat的腳本文件(打開記事本,保存到d盤時選所有文件格式,命名以.bat結尾,最后移動到c盤),寫入以下內容:
date /t >> c:\netstat5303.txt
time /t >> c:\netstat5303.txt
netstat -bn >> c:\netstat5303.txt
打開控制面板搜索管理工具,然后打開任務計划程序,找到新建的計划netstat5303
點擊計划屬性,然后操作選項卡里面的編輯啟動程序,把程序或腳本的cmd改成netstat5303.bat
在常規選項卡勾選不管用戶是否登錄都要運行和使用最高權限運行
程序運行后,打開netstat5303.txt,就能看到計划運行記錄下來的聯網記錄
打開Excel,在數據->自文本導入txt文件
導入向導第1步選擇分隔符號
導入向導第2步,選擇所有分隔符號
導入數據后如下
插入數據透視圖后右邊會有如下界面,將周四拖到下面軸和值
便有了如下數據透視圖
分析統計數據
- 常見應用進程
- MicrosoftedgeCP.exe:運行微軟自帶瀏覽器必須運行的windows操作系統的可執行文件
- svchost.exe:是微軟Windows操作系統中的系統文件,是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。
- SearchUL.exe:是小娜(Cortanar)的搜索進程
- Excel.exe:Excel進程
- WeChat.exe:微信
- 其他進程
- 360wpsrv.exe:360我都卸載了他還在偷偷運行。
- Explorer.exe、Microsedge.exe、LenovoEMDriverAssist.exe、PhotoMaster.exe等
2.1.2 sysmon
到官網下載sysmon
下載后到sysmon.exe所存在的文件夾內,新建一個xml文件,與bat文件形式類似,文件中寫入一下代碼:
其中exclude相當於白名單,即不記錄,include相當於黑名單,要記錄,onmatch意為匹配
Driverload是驅動加載程序
NetworkConnect是網絡連接
CreateRemote是遠程線程創建
<Sysmon schemaversion="10.42">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
然后打開以管理員身份運行命令提示符,在sysmon文件夾下輸入以下指令
Sysmon.exe -i sysmon.xml
出現安裝界面
安裝成功后,出現sysmon started正常
在sysmon.xml文件的NetworkConnect段后填入如下代碼
<NetworkConnect onmatch="include">
<DestinationPort condition="is">5303</DestinationPort>
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
配置文件修改完要更新,指令為:sysmon.exe -c sysmon.xml
查看日志
①在開始菜單搜索框中輸入event,打開事件查看器。
②在應用程序和服務日志下,查看Microsoft->Windows->Sysmon->Operational
③kali打開msf控制台運行監聽服務,本機運行實驗二生成的后門文件,在kali虛擬機中獲取Windows的命令行。
④查看后門文件的日志
- 進程創建日志
從圖中可以得到如下信息:
鏡像:D:\20175303 柴軒達\大三下\網絡對抗\實驗\ncat\20175303_backdoor.exe
描述:ApacheBench命令行實用程序
產品:Apache HTTP服務器
- 回連后產生的網絡連接日志:
從圖中可以得到如下信息:
程序:D:\20175303 柴軒達\大三下\網絡對抗\實驗\ncat\20175303_backdoor.exe
協議:tcp
源IP地址:192.168.0.1(Windows的IP)
目標IP地址:192.168.0.10(kali的IP)
目的端口:5303
2.2 惡意軟件分析
2.2.1 靜態分析
主要有以下幾種分析方法:
- 文件掃描(VirusTotal、VirusScan工具等)
- 文件格式識別(peid、file、FileAnalyzer工具等)
- 字符串提取(Strings工具等)
- 反匯編(GDB、IDAPro、VC工具等)
- 反編譯(REC、DCC、JAD工具等)
- 邏輯結構分析(Ollydbg、IDAPro工具等)
- 加殼脫殼(UPX、VMUnPacker工具等)
(1)文件掃描(virustotal),檢出率56/70
從下圖可以看出: - 該文件是ApacheBench命令行實用程序
- 根據Apache許可證2.0版(以下簡稱“許可證”)授權的注釋;除非符合許可證,否則您不能使用此文件。您可以在http://www.apache.org/licenses/License-2.0上獲取許可證副本,除非適用法律要求或書面同意,否則根據許可證分發的軟件是按“原樣”分發的,無任何明示或暗示的保證或條件。請參閱許可證,以了解控制許可證下的權限和限制的特定語言。
(2)文件格式識別(pied)
- PEiD(PE Identifier)是一款著名的查殼工具,其功能強大,幾乎可以偵測出所有的殼,其數量已超過470種PE文檔的加殼類型和簽名。
- 對未加殼的后門文件進行掃描:PEiD的主要功能是查殼,所以這個后門文件並沒有被它查出異常
下圖中可以看到運行此文件會運行很多DDL后綴的進行,也就是動態鏈接庫,作用為程序在運行時由系統動態加載到內存中供程序調用,所以調用DDL是正常的。
對加殼的后門文件進行掃描,可以掃描出upx殼
(3)反編譯、反匯編(PE Explorer工具)
-
PE Explorer是功能超強的可視化Delphi、C++、VB程序解析器,能快速對32位可執行程序進行反編譯,並修改其中資源。該軟件支持插件,你可以通過增加插件加強該軟件的功能,原公司在該工具中捆綁了UPX的脫殼插件、掃描器和反匯編器。
-
文件頭信息,並無明顯可疑信息
-
調用的DDL文件:PE Explorer比peid顯示更加詳細,它指出了DDL文件調用了哪些函數
-
版本信息:與VirusTotal大同小異
2.2.2 動態分析
主要有以下幾種方法:
- 快照比對(SysTracer、Filesnap、Regsnap工具等)
- 抓包分析(WireShark工具等)
- 行為監控(Filemon、Regmon、ProcessExplorer工具等)
- 沙盒(NormanSandbox、CWSandbox工具等)
- 動態跟蹤調試(Ollydbg、IDAPro工具等)
(1)快照對比(systracer)
下載安裝systracer
點擊軟件右側的take snapshot后start,開始捕獲;點擊stop停止並存儲。
快照一(Snapshot #1):未移植后門程序
快照二(Snapshot #2):植入后門程序
快照三(Snapshot #3):運行后門程序並在kali中實現回連
快照四(Snapshot #4):執行websnam_snap命令
快照五(Snapshot #5):執行getuid命令
點擊右下角的compare對比快照一和快照二。可以看到快照二新增了后門程序20175303_backdoor.exe,同時增刪了其他文件。
比快照二三,即后門啟動前后的變化,快照三中顯示正在運行的程序增加了后門程序
同時增加了許多ddl文件,即動態鏈接庫
(2)抓包分析(WireShark工具)
kali打開msf控制台運行監聽程序,windows回聯
kali獲得命令窗口后輸入dir后捕獲的數據包
從數據包中可以看到源IP、目的IP、源端口、目的端口以及傳輸的數據等內容
輸入mkdir xxx之后捕獲到的數據包
3 實驗中遇到的問題
問題1:sysmon運行不成功
解決:參考了楊元同學的sysmon運行步驟成功,之前為什么錯,不是很清楚
問題2:systracer運行不成功,無法捕獲數據包
解決:原來我用的不是碼雲上老師給的systracer工具,而是在官網上下載了一個32位的,重新下載安裝后解決
4 問題回答
- 1如果在工作中懷疑一台主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些,用什么方法來監控。
我認為Windows自帶的計划任務schtasks就很好用,按照上面的操作,每五分鍾甚至是每分鍾記錄一下,然后把結果都導入到EXCEL中,看看哪些進程占比較多,是否是可疑進程。
剛剛是做一個大致的篩選,選出比較可疑的,縮小范圍之后就可以對這些可疑進程進行分析。
靜態分析:VirusTotal、VirusScan進行掃描較為方便
動態分析:SysTracer工具可以創建快照,並對不同快照進行對比分析 - 2如果已經確定是某個程序或進程有問題,你有什么工具可以進一步得到它的哪些信息。
用sysmon可以查看該進程創建了哪些日志文件
用SysTracer工具可以查看該進程對注冊表、文件還有應用程序進行了哪些修改
用Wireshark進行抓包,可以看該進程傳輸了哪些數據
5 實驗體會
這次實驗對各種小工具的使用相當的多,而在我電腦上出問題是真不少,有的也是花了不少時間才解決。感覺這次實驗主要的還是用的自己曾經生成過得后門,一直看的是他的相關信息,對它進行分析。但實際上如果不清楚哪些進程是病毒或木馬,可能我找不到它,無法直接進行分析。通過日志或者軟件記錄進程,可能我也無法通過名稱來判斷他是否可疑,因為我看正常和不正常的進程名,沒有什么區別,或許是我沒學到這次實驗的精髓吧。