实战案例：分析恶意代码的网络流量，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Libra1313/article/details/146165570

恶意程序用于获取计算机操作系统的控制权限，建立执行命令的通道。恶意程序开发者会在公网设立控制服务器，等待执行恶意程序的计算机的连接。如果成功建立连接，则意味着恶意程序开发者能够远程控制计算机。

分析恶意代码的网络流量

控制服务器的IP地址通常被映射到特殊域名地址，恶意程序并不直接请求控制服务器的IP地址，而是访问DNS服务器解析特殊域名地址，获取控制服务器的IP地址，最后通过解析的IP地址访问控制服务器。恶意程序连接控制服务器的过程，如图14-33所示。

■ 图14-33 恶意程序连接控制服务器过程

恶意程序使用解析域名的方式获取控制服务器的IP地址，有效地隐藏网络流量。搭建的恶意代码分析环境可以将Flare VM虚拟机所有的DNS网络协议流量，都发送到REMnux Linux虚拟远程控制服务器，使用网络嗅探工具Wireshark抓取并分析DNS请求数据挖掘恶意域名。

首先，在REMnux Linux虚拟机的命令终端窗口，启动inetsim工具，开启DNS服务，如图14-34。

■ 图14-34 启动inetsim工具

接下来，在REMnux Linux虚拟机的命令终端窗口，打开网络嗅探工具Wireshark，如图14-35所示。

■ 图14-35 在后台运行wireshark进程

Linux操作系统的命令终端窗口能够执行系统命令和运行其他程序。如果需要将执行的程序置于后台，则可以在执行程序的命令追加符号“&”。

Wireshark是免费开源的网络数据流量分析工具，用于抓取和显示指定网卡的所有网络流量。如果在Wireshark的显示筛选框输入具体协议名称，则只会显示具体协议的网络流量。在显示筛选框输入dns，单击“确定”按钮，设置只显示dns协议的网络流量，如图14-36所示。

■ 图14-36 Wireshark设定只显示DNS协议的网络流量

双击ens33按钮，开启Wireshark抓取ens33网卡的网络流量，如图14-37所示。

■ 图14-37 启动Wireshark抓取ens33网卡的流量

最后，在Flare VM虚拟机执行恶意程序RAT.Unknown.exe，查看Wireshark抓取的DNS请求网络流量，如图14-38所示。

■ 图14-38 恶意程序的DNS请求流量

查看Wireshark抓取到DNS请求流量，恶意域名为serv1.ec2-102-95-13-2-ubuntu.local。

DNS响应流量是恶意域名对应的IP地址为172.16.1.3，恶意程序会将172.16.1.3作为下一步请求的服务器IP地址。

恶意程序获取服务器IP地址，会主动连接服务器，下载其他恶意程序。在Wireshark的显示筛选框输入http，单击“确定”按钮，如图14-39所示。

■ 图14-39 Wireshark显示HTTP协议的网络流量

查看Wireshark显示的HTTP协议流量，发现恶意程序会从恶意域名对应的服务器下载msdcorelib.exe可执行程序。功能强大的inetsim工具，会自动替换msdcorelib.exe，保证正常的下载流程。

恶意程序不仅会继续从远程控制服务器下载其他可执行程序，也可能会直接开启后门程序，等待连接。

TCPView是一款sysinternals开发的免费软件，该软件是绿色软件不需要安装，下载完直接双击即可运行。使用TCPView工具可以Flare VM虚拟机查看开启的端口信息，如图14-40所示。

■ 图14-40 TCPView查看监听端口信息

TCPView显示所有进程的网络连接状态，RAT.Unknow.exe恶意程序监听5555端口，等待连接。

Netcat被称为网络工具中的瑞士军刀，用于建立TCP和UDP连接的工具。REMnux Linux操作系统的命令终端窗口，使用nc命令执行Netcat工具，连接Flare VM虚拟机5555端口，如图14-41所示。

■ 图14-41 nc连接Flare VM虚拟机5555端口

如果nc命令成功连接Flare VM虚拟机的5555端口，则会输出提示信息。有经验的代码分析人员会注意到提示信息字符串以等号“=”结束，判断提示为base64编码的字符串。使用base64命令行工具对提示信息字符串解密，如图14-42所示。

■ 图14-42 base64工具解码提示信息字符串

提示信息字符串的内容是请求输入执行的命令，如果输入系统命令id，则会执行命令并返回base64编码的结果信息字符串，如图14-43所示。

■ 图14-43 执行系统命令id

使用base64命令行工具解码结果信息字符串，如图14-44所示。

■ 图14-44 base64工具解码结果信息字符串

如果能够连接恶意程序监听的5555端口，则可以在执行恶意程序的计算机中执行任意系统命令。

注意 /

恶意程序使用base64编码结果信息字符串的目的不仅可以隐藏真实网络流量，也能够避免无法传输某些字符串的情况。例如在传输文件过程中，文件的二进制数据可能无法编码，但是使用base64编码就可以解决这一问题。

恶意代码的网络流量不仅可以使用base64编码，也可以使用其他不同类型的编码或加密。

参考书籍

《恶意代码逆向分析基础详解》

**ISBN：**978-7-302-63074-6

刘晓阳编著

定价：79元

内容简介

本书以实战项目为主线，以理论基础为核心，引导读者渐进式学习如何分析Windows操作系统的恶意程序。从恶意代码开发者的角度出发，阐述恶意代码的编码和加密、规避检测技术。最后，实战分析恶意程序的网络流量和文件行为，挖掘恶意域名等信息。

本书共14章，第1_{9章详细讲述恶意代码分析基础技术点，从搭建环境开始，逐步深入分析WindowsPE文件结构，讲述如何执行编码或加密的shellcode二进制代码；第10}14章详细解析恶意代码常用的API函数混淆、进程注入、DLL注入规避检测技术，介绍Yara工具检测恶意代码的使用方法，从零开始，系统深入地剖恶意代码的网络流量和文件行为。

本书既适合初学者入门，对于工作多年的恶意代码分析工程师、网络安全渗透测试工程、网络安全软件开发人员、安全课程培训人员、高校网络安全专业方向的学生等也有参考价值，并可作为高等院校和培训机构相关专业的教学参考书。本书示例代码丰富，实践性和系统性较强。