20222959 2022-2023-2 《网络攻防实践》实践八报告

1. 实践内容

动手实践任务一

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

动手实践任务二：分析Crackme程序

任务：在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe，寻找特定的输入，使其能够输出成功信息。

分析实践任务一：

分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：

1、提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

2、找出并解释这个二进制文件的目的；

3、识别并说明这个二进制文件所具有的不同特性；

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

5、对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

6、给出过去已有的具有相似功能的其他工具；

7、可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

分析实践任务二：

Windows 2000系统被攻破并加入僵尸网络

任务：分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源，并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中，同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题：

1、IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

2、僵尸网络是什么？僵尸网络通常用于什么？

3、蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

4、在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

5、那些IP地址被用于攻击蜜罐主机？

6、攻击者尝试攻击了那些安全漏洞？

7、那些攻击成功了？是如何成功的？

2. 实践过程

2.1 动手实践任务一

RaDa是32位PE文件，且是GUI文件

打开PEiD查看运行平台和加壳工具

使用超级巡警脱壳机，对rada恶意代码样本进行脱壳处理，生成RaDa_unpaked.exe

打开RaDa.exe，发现是乱码

打开RaDa_unpaked.exe，有些可读内容，作者为：Raul Siles && David Perez

2.2 动手实践任务二

crackme1.exe
使用IDA Pro打开crackme1.exe，通过view——>Graphs——>Function calls路径找到函数调用图。

strcmp是c语言中字符串匹配密码的函数，发现关键的程序段sub_401280，在IDA View-A查看程序段sub_401280

发现strcmp，猜测密码可能是“I konw the secret”

命令行传递参数以空格隔开，字符串用双引号引起来

输入crackme1 “I konw the secret”得到正确的提示，以空格隔开输入多个参数提示其他消息

crackme2.exe
使用IDA Pro打开crackme2.exe，View->Graphs->Function calls，打开函数调用图

打开发现五个明文字符串

strcmp是c语言中字符串匹配密码的函数，发现关键的程序段sub_401280，在IDA View-A查看程序段sub_401280查看程序段，观察到[ebp+arg_4]应该是一个程序名

将程序名改为crackmeplease.exe，测试得出只有一个参数，输入crackeplease.exe “I konw the secret”，得到字符串明文中没有的信息

2.3 分析实践任务一

使用md5sum命令查看摘要信息， md5摘要值为caaa6985a43225a0b3add54f44a0d4c7。

启动恶意软件并用radaprocess explorer软件进行监测。在RaDa.exe
的属性里可以看到它通过HTTP协议连接到10.10.10.10主机下RaDa\RaDa_commands.html
的网页上，在c盘C:\RaDa\tmp目录下创建用于保存下载文件的文件夹，恶意软件还修改了注册表（HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）将rada设置为开机启动。

下拉可以看到，该程序还对主机实行了DDOS拒绝服务攻击，可以看出该恶意代码将其自我复制到主机系统盘，并激活了自启动，还试图从一个HTML页面获取并解析命令，故猜测这应该是一个后门程序。接下来该程序对注册表进行了读写和删除操作。

rada执行了上传、下载、休眠、屏幕截图等命令。
-exe:在宿主主机中执行指定的命令
-put:将宿主主机中的指定文件上传到服务器
-get:将服务器中的指定文件下载到宿主主机中
-screenshot:截取宿主主机的屏幕并保存到tmp文件夹
-sleep:停止活动一段时间

总结：

1、这个二进制文件的摘要为caaa6985a43225a0b3add54f44a0d4c7。PE格式：运行在Windows 2000, XP and 2003及以上版的操作系统中，使用了UPX加壳工具进行了加壳处理
2、找出并解释这个二进制文件的目的：下载后门到目标主机，发动拒绝服务攻击，可远程与目标主机通信。
3、识别并说明这个二进制文件所具有的不同特性：这个恶意程序会自我复制到目标主机c盘，并自动新建文件夹而不被发现，修改注册表，文件运行时自动与其他主机通信。
4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术：文件被加壳处理，为乱码形式；
5、对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由：不能自主传播，未进行伪装，是后门程序。
6、给出过去已有的具有相似功能的其他工具：木马Setiri。
7、可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？将rada.exe脱壳后，获得开发作者信息Authors: Raul Siles & David Perez, 2004。

2.4 分析实践任务二

（1）IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？
IRC是英文Internet Relay Chat的缩写，1988年起源于芬兰，已广泛应用于全世界60多个国家，它是“talk”的替代工具但功能远远超过“talk”，IRC是多用户、多频道的讨论系统，许多用户可以在一个被称为“channel”的地方就某一话题交谈或私谈。它允许整个Internet的用户之间即时交谈，每个IRC 的使用者都有一个nickname，所有的沟通就在他们所在的channel内以不同的nickname交谈。
IRC在明文传输时一般使用6667端口，ssl加密时一般使用6697端口。
（2）僵尸网络是什么？僵尸网络通常用于什么？
僵尸网络(英文名称叫Botnet)，是互联网上在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方法。往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。
（3）蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？
用wireshark打开botnet_pcap_file.dat文件，输入筛选条件ip.src == 172.16.134.191 && tcp.dstport == 6667，筛选源地址为蜜罐主机，目的端口为6667的包。可得到四个地址：

209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10

（4）在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？
在kali终端输入tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"对样本进行分流，得到两个分流后的数据文件209.196.044.172.06667-172.016.134.191.01152、172.016.134.191.01152-209.196.044.172.06667和一份报告report.xml

查看report.xml文件，可以看到上述双方的ip地址，端口，mac地址，通信时间等

下来查看209.196.044.172.06667-172.016.134.191.01152。在当前主机进入到IRC的频道之后，频道会将当前频道中所有的主机的信息都发送过来，可以从其中的数据包中计算当前频道共有多少主机。
首先我们计算在当前主机加入IRC时刻，IRC中主机的个数，主机的个数是 3457。这仅仅是第一步的计算。在计算截至结束嗅探的时候的不断有主机加入和退出IRC频道

（5）那些IP地址被用于攻击蜜罐主机？
因为蜜罐的特殊性，只要是进入蜜罐的流量都应该被认为是攻击。所以首先明确被攻击的端口。使用指令
tcpdump -n -nn -r botnet_pcap_file.dat ‘dst host 172.16.134.191’ | awk -F " " ‘{print $3}’ | cut -d ‘.’ -f 1-4 | sort | uniq | more > ip.txt;wc -l ip.txt
查找端口并输出到ip.txt中，
如图所示，查找到148个被攻击的端口。其中cut -d是指定字段的分隔符，uniq命令用于检查及删除文本文件中重复出现的行列，一般与sort命令结合使用。

使用tcpdump -r botnet_pcap_file.dat -nn ‘src host 172.16.134.191’ and tcp[tcpflags]== 0x12 | cut -d ’ ’ -f 3 | cut -d ‘.’ -f 5 | sort | uniq筛选有响应的TCP端口，即SYN/ACK标志为1
再用tcpdump -r botnet_pcap_file.dat -nn ‘src host 172.16.134.191’ and udp | cut -d ’ ’ -f 3 | cut -d ‘.’ -f 5 | sort | uniq筛选有响应的UDP端口

（6）攻击者尝试了哪些安全漏洞？哪些攻击成功了？是如何成功的
打开wireshark对各个端口进行分析，过滤http请求，发现攻击者尝试了溢出、目录穿越等攻击，但均未成功

过滤445端口，发现执行了\System32\PSEXESVC.EXE，其他端口也未发现攻击成功

3.学习中遇到的问题及解决

问题1：在攻击时wireshark监听的信号太多不便进行分析
问题1解决方案：把网络环境中可能的感染因素清除后，重新进行实验即可，网络环境中的干扰因素有一直占用网络带宽的应用，在实验时要注意kali右上角网络使用情况。
问题2：统计多少不同的主机访问了以209.196.44.172为服务器的僵尸网络时存在重复计数的问题。
问题2解决方案：执行export LC_COLLATE='C’和export LC_CTYPE='C’即可消除重复技术

4.实践总结

本次实验内容多，难度大，恶意程序分析需要对编译原理有一定的了解，对函数的调用关系进行分析，既有专业知识，也需要大胆地猜想验证。分析pcap文件的难点在于筛选命令、分析思路和恶意代码的逻辑特征。

5. 参考资料

《网络攻防技术与实践》