Exp4 恶意代码分析 20204308李文艳
1. 基础问题回答
1.1 工作中怀疑主机上有恶意代码
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:
- 使用windows自带的schtasks指令,设置一个计划任务定时地对所运行的程序进行监控。
- 使用Sysmon,编写配置文件,记录有关的系统日志 。
- 使用wireshark抓取数据包,进行分析 。
- 使用SysTracer,一定时间间隔拍摄一张快照,对比不同快照,查看是否有可疑行为。
- 使用Process Explorer工具,监视进程执行情况。
1.2 已确定某个程序或进程有问题
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:
(1)静态分析
使用virustotal或virscan,对恶意软件进行分析,可以得到它的基本属性、头部、各个节以及引用的链接库的信息;
使用PEiD,查看恶意软件是否加壳,加的什么壳;
使用PE Explorer,查看恶意软件的PE头、数据目录、节头表信息,以及引用的链接库的信息;
使用String工具,分析恶意程序是否包含可疑字符串。
(2)动态分析
使用SysTracer,查看此恶意软件对注册表和文件的修改;
使用Wireshark抓包,分析恶意软件的通信过程;
使用Process Explorer或Process Monitor,监视文件系统、注册表,分析恶意软件的活动。
2. 实验总结与体会
通过本次实验,让我进一步学习了如何更好地监控自我的计算机,从而可在一定程度上保证运行过程中的安全可控。利用各种可实现监控功能的软件,在边使用边了解的过程中了解其含义。让我印象最深的软件还是Systracer软件,其快照对比不同的方式,让我们更容易发现计算机的异常,通过查看注册表、进程等的不同,发现每个操作所要改变的应用程序。
3. 实验过程记录
3.1 使用schtasks指令监控系统
使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
3.1.1 在D盘中的pwn4_tmp文件夹中创建一个脚本文件 netstat4308.bat
因为不能直接写入.bat文件,所以我在D盘创建了一个netstat4308.txt文本文件,并在脚本文件中写入以下命令:
date /t >> d:\pwn4_tmp\netstatlog.txt
time /t >> d:\pwn4_tmp\netstatlog.txt
netstat -bn >> d:\pwn4_tmp\netstatlog.txt
3.1.2 用命令行创建任务计划
schtasks /create /TN schtasks4308_3.1 /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > d:\pwn4_tmp\netstatlog4308.txt
TN是TaskName的缩写,后跟创建的计划任务名;sc表示计时方式,这里以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口。
3.1.3 对任务计划进行进一步配置
- 在常规中选择“使用最高权限运行”
- 选择批处理文件
netstat4308.bat
- 将“只有在计算机使用交流电源时才启动此任务”勾掉
这样每2分钟就会监测哪些程序重在联网并记录在netstatlog.txt
记事本文件中。
3.1.4 Excel表格中分析记录的数据
该电脑主机在2023/04/01 周六 17:00 时刻捕捉到的连接活动
- 使用协议分析
根据记录,连接活动使用的协议均为TCP - 该时刻连接的应用程序分析
通过应用程序名称我们可了解到该时刻该主机所启动联网的运用程序有哪些,[LenovoPcManagerService.exe] [OneDrive.exe] [SmartEngineHost64.exe]
[svchost.exe] [WeChat.exe] [ipfsvc.exe] [WUDFHost.exe]
[wpscloudsvr.exe] [cloudmusic.exe] [SearchHost.exe] [msedge.exe]
WpnService是描述此服务在会话 0 中运行,托管通知平台以及用于处理设备与 WNS 服务器之间的连接的连接提供程序。
- 本机IP分析
截取记录的ip地址,IPV4、IPV6均对应
- 外部IP
对该时刻的ip进行简单的分类(种类太多无法画条形图进行分析)
我们可以看到大多都是使用443https协议服务端口,还有部分HTTP协议的80端口,还有一部分DNS域名服务器的通信的53端口,其中还有本机地址中一些使用了私有端口。 - 查询部分外部地址来源
https://ip.tool.chinaz.com/
利用该网址进行查询来源
3.2 使用sysmon工具监控系统
安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
3.2.1 安装Sysmon
一键安装命令(需要以管理员身份运行cmd):D:\Soft\Sysmon\Sysmon64.exe -i
3.2.2 编写xml配置文件
在Sysmon官网了解其相关用法,包括配置条目、事件筛选条目等。
xml关系如下:
<Sysmon schemaversion="4.83">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<ProcessCreate onmatch="exclude">
<Image condition="end with">msedge.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">msedge.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">msedge.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
参数解释:
exclude
(不包括)相当于白名单,不用记录。include
(包括)相当于黑名单。
Image condition
要根据自己使用的浏览器更改。由于我使用的是Microsoft Edge浏览器,所以在我的配置文件中,排除了(不记录)进程名为msedge.exe的进程。但是要记录以cmd.exe结尾的进程记录。
FileCreatTime
:进程创建时间。这里排除(不记录)浏览器进程的创建时间。
NetworkConnect
:网络连接。过滤掉(不记录)浏览器的网络连接,源IP地址为127.0.0.1
、源端口为137的连接服务。包含(记录)目的端口为80(http)和443(https)的网络连接。
137端口
:提供局域网中ID或IP查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。
127.0.0.1
:环回地址,表示本机。
CreateRemote
:远程线程创建。记录的线程如下:
explorer.exe
:Windows程序管理器或者文件资源管理器
svchost.exe
:一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
winlogon.exe
:Windows NT 用户登陆程序,用于管理用户登录和退出。
powershell.exe
:专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。
3.2.3 启动sysmon,更新配置文件(以管理员的身份运行命令行)
将sysmon按照修改好的配置文件进行更新,sysmon -c D:\Soft\Sysmon\Sysmon20204308_pd.xml
3.2.4 使用事件查看器分析进程
Win+R
输入eventvwr.msc
打开事件查看器
应用程序和服务日志 -> Microsoft -> Windows -> Sysmon -> Operational,可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等。
用Kali的windows/meterpreter组件生成Windows下的exe后门,并按照后门程序进行配置(实验二内容)
3.3 分析恶意软件
3.3.1 使用VirusTotal分析
把生成的恶意代码放在VirusTotal进行分析,基本情况如下:
查看其基本信息(如:MD5值、SHA-1值、文件类型、TRiD值 [TRiD通过读取文件头,根据特征码进行文件类型匹配]、需要的dll库)
3.3.2 使用PEiD 静态分析
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [调试] *
1)其他壳伪装成yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
2)没有加壳,作者加了花指令,伪装成yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
此处形成的后门程序是未加壳的。
从显示可以看出,其查出了恶意程序加壳的情况。
UPX v0.89.6 - v1.02 / v1.05 - v1.22
只是一个简单的压缩壳
3.3.3 使用Process Explorer分析
打开procexp.exe
Process Explorer可以监听到电脑上所有正在运行的程序,找到可疑行为,仔细观察是否有后门程序
通过Process Explorer中的Find工具查找使用了cmd的进行,直接定位到后门程序
选中此后门程序后,可以直接点击Kill Progress杀死进程后,Linux主机和断开对wins的控制。
3.3.4 使用Systracer动态分析
总共截了以下五张快照:
- 快照一:未移植后门程序,保存为
Snapshot #1
- 快照二:运行后门程序并在kali中实现回连,保存为
Snapshot #2
- 快照三:在kali中使用
ls
指令,保存为Snapshot #3
- 快照四:在kali中使用
screenshot
指令,保存为Snapshot #4
- 快照五:在kali中使用
getuid
指令,保存为Snapshot #5
快照一和快照二进行对比:
应用程序上看是存在较大改变的,比如增添了tcp 4308端口的连接等等。
快照二和快照三进行对比:
注册表变化:
不再运行后门应用程序20204308lwy_pwn4_backdoor.exe
快照三和快照四进行对比:
快照四和快照五进行对比:
增加了vmnat.exe应用程序。vmnat.exe是VMware NAT相关服务。用于VMware虚拟机NAT应用。
3.3.5 使用Wireshark抓包分析
运行后门应用程序20204308lwy_pwn4_backdoor.exe
,在kali中回连。
把过滤规则设置为ip.addr == 192.168.191.128
,只留下与kali机有关的数据包。
三次握手:
在kali中输入ls
,发现wireshark又捕获到一些数据包,通过分析可得红色框为kali发送给win有关ls命令的数据,黄色框是win回传给kali的相关数据。
所传data与kali显示的结果对应
在kali中输入exit
,抓取到了断开连接的数据包。
4. 遇到的问题及解决
4.1 无法通过IP直接访问网络
发现无法通过IP访问网络,其管理员可能对此进行限制
通过查询可知,可能存在以下几个原因:
联想起计网课上老师提到过第二和第三个原因,尝试用百度的ip进入百度的网页,可以成功进入。
尝试用云班课的ip进入云班课的网页,发现其是原因3,管理员设置了防护墙。
4.2 无法抓取kali与主机互联的数据包
通过询问课题负责人,发现自己是犯了第一个错误,网络适配器没有配置正确。
在解决这次问题的过程中,也让我进一步就理解了红框处的含义,如果最初我就深刻理解了其含义,那么网络适配器就不会配置错误。
交换数据的ip:
kali:192.168.191.128:4308 访问4308端口
主机:192.168.191.1:53586 访问53586(动态端口)