1.实践内容
动手实践任务一
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
脱壳
一段专门负责保护软件不被非法修改的程序在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”。软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。有很多加壳工具,既然有盾,自然就有矛,脱壳即去掉软件所加的壳,软件脱壳有手动脱和自动脱壳之分,
动手实践任务二:分析Crackme程序
任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。
分析实践任务一:
分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
2、找出并解释这个二进制文件的目的;
3、识别并说明这个二进制文件所具有的不同特性;
4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
6、给出过去已有的具有相似功能的其他工具;
7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
二进制文件
包含在 ASCII及扩展 ASCII 字符中编写的数据或程序指令的文件。计算机文件基本上分为二种:二进制文件和 ASCII(也称纯文本文件),图形文件及文字处理程序等计算机程序都属于二进制文件。这些文件含有特殊的格式及计算机代码。ASCII 则是可以用任何文字处理程序阅读的简单文本文件。
分析实践任务二:
Windows 2000系统被攻破并加入僵尸网络
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:
1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
2、僵尸网络是什么?僵尸网络通常用于什么?
3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
5、那些IP地址被用于攻击蜜罐主机?
6、攻击者尝试攻击了那些安全漏洞?
7、那些攻击成功了?是如何成功的?
2.实践过程
动手实践任务一:分析rada恶意代码样本
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
都是PE文件
使用查壳工具Exeinfo PE,识别为upx壳
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
开始脱壳
失败了,换工具
这脱壳软件是08年的,可能是upx版本太老,导致常用的upx脱壳工具脱不掉
对脱壳后的文件进行字符串提取
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
strings RaDa_unpacked.exe
SotM
发现可疑字段SotM,在ida里面却发现不了,有点奇怪
猜测为作者名字
动手实践任务二:分析Crackme程序
任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。
均为PE文件,32位文件
都是正常的文件,不用脱壳,放进ida里面看看
非常直白,对比字符串成功就行
I know the secret
第二个只是多了程序名验证,改掉程序的名字就可以了
“crackmeplease.exe”
跑一下验证一下,验证成功
分析实践任务一:
分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
2、找出并解释这个二进制文件的目的;
程序首先访问了10.10.10.10的网站RaDa_commands.html,并将文件下载到C:\RaDa\tmp目录下,进行了DDos攻击
对注册表进行修改
3、识别并说明这个二进制文件所具有的不同特性;
可以发现程序自我复制到C盘下,并修改注册表自启动项
4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
UPX加壳,来阻止反编译
5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
是木马,下载的时候,安全软件警告包含木马
不是病毒,因为它不能自我复制;也不是蠕虫,因为它不能通过网络传播;
6、给出过去已有的具有相似功能的其他工具;
盖茨病毒(虽然是病毒,但是发DDOS)
7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
可以,已经查到了作者的名字
分析实践任务二:
Windows 2000系统被攻破并加入僵尸网络
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:
1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC(Internet Relay Chat)(因特网中继聊天)协议是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。
2、僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
控制僵尸网络的攻击者称为“僵尸主控机(Botmaster)”。僵尸主控机通过僵尸网络的命令与控制(Command and Control, C&C)服务器向bot发布命令,C&C充当僵尸主控机和僵尸网络之间的接口。如果没有C&C服务器,僵尸网络将退化为一组无法协同运行的独立的受恶意软件入侵的机器。这就是可控性成为僵尸网络的主要特点之一的原因。
僵尸网络可以由僵尸主控制器以几种不同的方式进行控制。
传统上,僵尸网络可能是由一台C&C服务器控制的。在这种情况下,Bot设备会回到一个预定的位置并等待来自服务器的命令。Bot控制者将命令发送到服务器,然后服务器将命令转发到Bot网络,然后收集的结果或信息由Bot设备发送回该中央服务器。
但是,拥有一台集中式服务器使得僵尸网络更易受到攻击和破坏企图的影响。出于这个原因,许多僵尸网络的控制者现在大多使用对等(P2P)模型。
在P2P僵尸网络中,互连的僵尸设备共享信息,而无需向中央服务器报告,即被感染的僵尸设备既发送命令又接收命令。这些僵尸设备然后探测随机IP地址以联系其他受感染的设备。一旦联系,Bot设备会回复诸如其软件版本和已知设备的列表等信息。如果联系的Bot具有较新的软件版本,则另一Bot将自动将其自身更新为该版本。这种方法允许僵尸网络增长并保持更新,而不需要联系中央服务器,这使得执法机构或其他机构更难以取缔僵尸网络。
3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
63.241.174.144
217.199.175.10
209.196.44.172
4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
只有172.16.134.191这一个
5、那些IP地址被用于攻击蜜罐主机?
173个
6、攻击者尝试攻击了那些安全漏洞?
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
逐个查看端口通信,发现445端口有大量流量,追踪一下
存在远程执行文件
可能在做在做缓冲区溢出攻击
4899端口的通信中有调用cmd.exe的操作
7、那些攻击成功了?是如何成功的?
远程控制PSEXESVC.EXE的攻击成功,攻击者通过开放的445端口植入了远程控制程序。
3.学习中遇到的问题及解决
问题1:crackme1.exe无法运行
问题1解决方案:原来放到windows系统就好了QAQ,在kali里面试了好久
4.实践总结
通过本次实验,学习了通过流量分析做溯源,查看是什么攻击,对ida反编译有了初步的了解。
536
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
