一、实验内容
1.对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者
2.在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe
3.分析一个自制恶意代码样本rada
4.分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源
二、实验过程
1.1).程序分析
PEID查壳工具,查看文件的加壳类型位UPX壳,然后再解包
可以用IDA在字符串列表查到作者
1.2)
不测试直接IDA分析cm1
就这几句话看着正常
分析一下对应的函数,看一下依赖树
分析该函数可以看到右侧判定树的需求结果为I know the secret
ok了
不测试直接IDA分析cm2
瞅着就这些语句就不对劲
还是熟悉的401280字段,此处有个比较跳转
分析流程图可知整体过程与1类似。判断参数是否为2,若不为2,则执行"I think you are missing something";若为2,则将第一个参数与"crackmeplease.exe"做对比,若不同,输出"I have an identity problem.",若相同,则将第二个参数与"I know the secret"比较,如第二个参数不同,则执行"Pardon?What did you say?"
改文件名字并输入
成功
2.1)代码分析
1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
先对文件进行分析
有三个网站,还有get put等字段,初步分析是下载东西放到某个位置
这俩网站看起来怪怪的,去IDA里分析一下
查找到相关函数
那几个get指令和网站都是从这个函数链出来的
从一个网站里下载东西
2、找出并解释这个二进制文件的目的;
该程序会访问10.10.10.10/RaDa这个链接,并从RaDa_commands.html中获取相应的指令。
程序会将自己加入系统的自启动项,每次启动自动运行,而从三个函数名RegWrite、RegRead和RegDelete可以看出程序能够对注册表进行了相应的操作。最后,通过Starting DDoS Smurf remote attack...可以看出程序会根据远程攻击者的指令发动DDoS攻击。
3、识别并说明这个二进制文件所具有的不同特性;
它会自动安装到C盘中,并修改注册表跟随系统开机启动
4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
UPX 加壳技术
5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
没传染性,是后门程序
6、给出过去已有的具有相似功能的其他工具;
ASP木马
7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
2.2)
1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端?
IRC(Internet中继聊天)提供了一种与来自世界各地的人们进行实时通信的方式。它由IRC服务器(允许用户连接到IRC的计算机)的各种独立 网络(或“网络”)组成。最大的网络是EFnet (原始IRC网络,通常一次有32,000多人), Undernet,IRCnet, DALnet和NewNet。
口令,昵称和用户信息
IRC 服务器明文传输通常在 6667 端口监听,也会使用 6660—6669 端口。SSL 加密传输在 6697 端口。
2、僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络( Botnet) 是指黑客采用一种或多种传播手段,将大量主机感染僵尸程序病毒,被感染的主机通过控制协议接收黑客的指令,从而在黑客和被感染主机之间所形成的可一对多控制的网络 。僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
IRC 服务通过6667端口,可以找到所有与蜜罐主机进行通信的 IRC 服务器:分别为209.126.161.29,66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172
4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
用tcpflow查询tcpflow -r botnet_pcap_file.dat'host 209.196.44.172 and port 6667
172.016.134.191.01152-209.196.044.172.06667、209.196.044.172.06667-172.016.134.191.01152
5、那些IP地址被用于攻击蜜罐主机?
直接tcpdump查询
6、攻击者尝试攻击了那些安全漏洞?
用snort分析一下好多tcp攻击
分析tcp.dstport==80 && ip.dst == 172.16.134.191进行筛选
7、那些攻击成功了?是如何成功的?
把受到攻击的tcp端口全弄出来
没通,不是这个
包被打回了,也不是这个
也被识别了,不是这个
又是445端口,上个实验被攻击的也是这个,
psexec远程运行需要远程计算机启用文件和打印共享且默认的Admin$共享映射到C:windows目录。
psexec建立连接之后目标机器上会被安装一个“PSEXESVC”服务。但是psexec安全退出之后这个服务会自动删除(在命令行下使用exit命令退出)。
还真是他