20231913 2023-2024-2 《网络攻防实践》实践八报告
1.实践过程
1.1 动手实践任务一:rada恶意代码样本进行相关操作
打开WinXP,从学习通上将Rada.exe下载后复制到虚拟机里,使用file命令查看文件类型。
输入strings Rada.exe
都是乱码,应该是加壳导致,用PEiD工具进行查壳。
看到文件的入口点为0000FD20、文件偏移为00004120、EP段为JDR1,加壳类型为UPX壳。
使用超级巡警进行脱壳
点击 “给我脱”,显示脱壳成功
生成了一个新文件RaDa_unpacked.exe
脱壳后,输入strings Rada.exe
打开IDA Pro Free,选择脱壳后的文件rada_unpacked.exe
在该工具中可以看到作者、邮箱为等信息
1.2 动手实践任务二:分析Crackme程序
检查两文件的完整性
计算 md5 值
使用file命令查看其文件类型
对crackme1.exe进行分析,试探输入格式
判断该程序接受一个参数
用IDA Pro分析该程序
查看函数调用图Function Cal发现关键的块在sub_401280
看到 cmp [ebp+arg_0],2用来判断程序是否有两个参数
可以看到几条口令
正确的口令应该是"I know the secret",输入命令运行改口令,可以得到这样一条回复"You know how to speak to programs,Mr.Reverse-Engineer"
接下来分析crackme2
通过Function call函数调用图,关键的块是sub_401280
内容和上面差不多,但是程序名称变成了:crackmelpease.exe
输入 copy crackme2.exe 将程序复制并命名为crackmeplease.exe
输入crackmeplease.exe “I know the secret”,得到的反馈信息We have a little secret: Chocolate
1.3 分析实践任务一:分析自制恶意代码样本rada
输入md5sum RaDa.exe得到其md5摘要“caaa6985a43225a0b3add54f44a0d4c7”
输入file RaDa.exe
启动破壳后的RADA_unpacked并用process explorer监测
看到该恶意程序通过HTTP协议连接到10.10.10.10主机下RaDa的网页上
创建文件夹C:\RaDa\tmp保存下载文件
进行DDOS攻击
将RaDa.exe复制到C:\RaDa\bin下
对主机注册表进行了读写和删除
进行了上传、下载、休眠、屏幕截图操作
查询了数据库、Mac地址等相关信息
使用IDA对脱壳后的RaDa文件进行分析
在Strings窗口查看相关命令
Type类型设置为 Unicode
找到authors
发现函数sub-405E40
在function calls中查看,发现函数sub-40B010
在flow chart中可以找到作者信息
回答问题:
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息:
“caaa6985a43225a0b3add54f44a0d4c7”,这是一个PE(Portable Executable)结构的可执行文件,并且经过UPX压缩(加壳)以提高其隐藏性和抗分析性。
(2)找出并解释这个二进制文件的目的:
该文件的目的是作为一个后门程序,用于下载其他恶意软件到目标主机上,发动拒绝服务(DOS)攻击,与特定的IP地址(10.10.10.10)进行通信,并收集目标主机的Mac地址信息。
(3)识别并说明这个二进制文件所具有的不同特性:
修改Windows注册表,以便在系统启动时自动运行。
下载的恶意文件通常存储在C:\RaDa\tmp目录下。
该程序能够访问一个特定的URL(http://10.10.10.10/Rada/Rada_command.html)以接收并执行远程命令。
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术:
该二进制文件采用了UPX加壳技术,这种技术会混淆程序的原始结构,使得直接分析变得困难。
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由:
由于该样本没有自我复制或感染其他文件的能力,也没有伪装成有用的程序来欺骗用户,因此它不符合病毒或蠕虫的定义。它更可能是一个后门程序或僵尸网络程序,用于远程控制目标系统。
(6)给出过去已有的具有相似功能的其他工具:
木马Bobax、特洛伊木马Setiri和GatSla
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
可以通过分析二进制文件内的字符串或元数据来识别可能的作者,作者为Raul siles 和 David Perze。使用如IDA Pro等反汇编器或strings命令。
1.4 分析实践任务二:Windows 2000系统被攻破并加入僵尸网络
(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC是Internet Relay Chat的缩写,中文意为“互联网中继聊天”。它是一种基于互联网的即时通讯协议,通过客户端软件连接到服务器上,用户可以在不同的聊天室中进行实时交流。
当IRC客户端申请加入一个IRC网络时,通常需要发送一些特定的消息以完成注册和加入频道等过程。这些消息包括:
USER:用户信息,用于提供用户的身份和相关信息。
PASS:口令,用于验证用户的身份(如果服务器需要)。
NICK:昵称,用于在聊天室中显示给其他用户的名字。
JOIN:加入频道,用于指定要加入的频道名称。
至于IRC一般使用的TCP端口,虽然它可以通过任何未被占用的端口进行通信,但常用的标准端口是6667。不过,这并不意味着所有IRC服务器都使用此端口,因为管理员可以根据需要选择其他端口。
(2)僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
僵尸网络通常被用于各种恶意活动,主要有:
分布式拒绝服务攻击(DDoS攻击):僵尸网络可以同时操控大量受感染的计算机,以协同发动大规模的DDoS攻击,将目标网络或网站淹没在大量的流量中,导致服务不可用。
垃圾邮件传播:僵尸网络可以用于发送大量垃圾邮件,用于传播恶意软件、钓鱼链接或其他诈骗活动。
数据盗窃:攻击者可以使用僵尸网络来窃取敏感数据,如个人身份信息、银行账户信息或商业机密。
恶意软件分发:僵尸网络可以用于传播恶意软件,包括勒索软件、间谍软件和其他恶意代码。
(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
下载不了tcpflow…
(5)那些IP地址被用于攻击蜜罐主机?
输入指令tcpdump -n -nn -r /home/kali/Desktop/botnet_pcap_file.dat ‘dst host 172.16.134.191’ | awk -F " " ‘{print $3}’ | cut -d ‘.’ -f 1-4 | sort | uniq | more > tcpdump.txt;wc -l tcpdump.txt
查找到165个被攻击端口
(6)攻击者尝试攻击了那些安全漏洞?
输入指令tcpdump -r /home/kali/Desktop/botnet_pcap_file.dat -nn ‘src host 172.16.134.191 and tcp[tcpflags]== 0x12’ | cut -d ’ ’ -f 3 | cut -d ‘.’ -f 5 | sort | uniq
tcpdump -r botnet_pcap_file.dat -nn ‘src host 172.16.134.191’ and udp | cut -d ’ ’ -f 3 | cut -d ‘.’ -f 5 | sort | uniq
可以看到
TCP端口有:135(rpc)、139(netbios-ssn)、25(smtp)、445(smb)、 4899(radmin)、 80(http)被攻击
UDP端口有137号被攻击
(7)那些攻击成功了?是如何成功的?
答:只有针对TCP445端口的PSEXESVC蠕虫攻击成功
使用wireshark逐一排查
先是135端口
139端口
25端口
445端口
针对TCP445端口的PSEXESVC蠕虫攻击成功
4899端口
80端口
137端口
2.学习中遇到的问题及解决
- 问题1:学习通的文件一直拖不进去
- 问题1解决方案:下载VMware Tools后成功复制粘贴
3.实践总结
本次实践内容非常多,步骤也比较繁杂,通过跟随视频的指导,我成功地进行了恶意代码文件类型的识别,掌握了脱壳技术和字符串提取方法。通过实验动手实践了分析案例 Crackme 程序,通过寻找其启动方式和内部信息,我加深了对一些网络攻防知识的理解。这些环节不仅锻炼了我的动手能力,还让我感受到了网络分析实践带来的乐趣。同时,我也认识到了一些分析工具,不过使用还不够熟练。
扫一扫
1988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
