实验2 恶意软件样本行为分析
1.1实验名称
恶意软件样本行为分析
1.2实验目的
- 熟悉 Process Moniter 的使用
- 熟悉抓包工具 Wireshark 的使用
- VMware 的熟悉和使用
- 灰鸽子木马的行为分析
1.3实验步骤及内容
第一阶段:熟悉 Process Moniter 的使用
利用 Process Moniter 监视 WinRAR 的解压缩过程。
利用 Process Moniter 分析 WinRAR 的临时文件存放在哪个文件夹中。
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭
打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用Process Moniter 分析上述两种方式的异同点。
第二阶段:熟悉抓包工具 Wireshark 的使用
熟悉 Wireshark 软件的使用,着重掌握 Wireshark 的过滤器使用。
使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包获得用户名和
密码。
第三阶段:VMware 的熟悉和使用
着重掌握 VMware 的网络设置方式,主要有 NAT 连接、桥接和 Host-Only 模式。
配置自己的木马分析环境。
第四阶段:灰鸽子木马的行为分析
熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。
利用 Process Moniter 监控感染灰鸽子木马的被控端的文件行为和注册表行为。
利用 Wireshark 监控灰鸽子木马与控制端的网络通信。
提出灰鸽子木马的清除方案。
第五阶段:课后习题思考与实践
尝试对大白鲨木马或 PCShare 木马进行行为分析。
1.4实验关键过程、数据及其分析
1.4.1 熟悉Process Moniter的使用
首先利用Process Moniter监视WinRAR的解压缩过程。打开软件Process Moniter,并点击filter。在弹出的对话框中Architecture下拉框,选择Process Name填写要分析的应用程序名字,点击Add添加、Apply应用。这里也可以增加其他过滤规则。
接着测试解压实验工具中的rar压缩包,同时检测Process Monitor的监控信息,可以发现成功捕获到了WinRAR解压缩过程。
接下来利用Process Moniter分析WinRAR的临时文件存放在哪个文件夹中。
通过查看创建文件的操作对进程过滤,可以发现WinRAR相关的文件开启进程操作,进而发现临时路径,右键jump to,跳转到该路径。
可以看到WinRAR的解压缩临时路径是:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用Process Moniter分析上述两种方式的异同点。
测试先关闭文件,再关闭压缩包,Process Monitor检测情况如下:
测试先关闭压缩包,再关闭文件,Process Monitor检测情况如下:
实验结果显示文件是.txt时两种方式没有明显的区别。但是当文件是word类型,如果先关闭压缩包再关闭word文档会导致文件存储失败。
1.4.2 熟悉抓包工具Wireshark的使用
Wireshark是目前全球使用最广泛的开源抓包软件,其前身为Ethereal,是一个通用的网络数据嗅探器和协议分析器。如果是网络工程师,可以通过Wireshark对网络进行故障定位和排错;如果安全工程师,可以通过Wireshark对网络黑客渗透攻击进行快速定位并找出攻击源。
首先进入Wireshark主界面选择以太网,点击start即开始抓包。
接着使用Wireshark 抓取登录珞珈山水BBS的数据包,并通过分析数据包获得用户名和密码。打开武汉大学BBS网站,利用Wireshark捕获数据包,对捕获到的数据包进行过滤,看是否可以得到用户名和密码。
当输入用户名和密码,点击登录,可以看到Wireshark软件捕获到了很多流量信息。
然后,我们需要通过过滤器获取HTTP协议且与该IP地址相关的信息。当我们拿到一个网站,需要对其信息进行查询,包括IP地址、端口扫描等,这里通过站长之家获取IP地址,再在Wireshark软件中过滤与该IP相关的流量信息。
接着配置Wireshark的过滤器,过滤条件是“http and ip.addr==218.197.148.129”,仅抓取指定的包如下:
发现内容还是很多。进一步过滤“http and ip.addr==218.197.148.129 and http.request.method==”POST””
可以看到我们刚才登录时输入的账号(lmy)密码(123.com)全部出现。
1.4.3 灰鸽子木马制作
首先准备实验环境,一台Win2003作为木马受害机,一台WinXP作为黑客机。将两台主机的网络适配器设置为桥接模式,则两者(还有真实机)之间可以互相ping通。
接下来打开灰鸽子程序,点击配置服务程序,可以人为地选择生成的漏洞发送给目标主机。配置的第一步是将黑客机的ip地址作为目标机将要连接到的地址。
可以在安装选项里进一步设置。一般来说,黑客会将启动项设置中的显示名称和服务名称尽可能设置得像Windows中真实的服务,这里为了实验方便取名为test_1024并将生成程序保存到桌面。
接下来通过共享文件夹的方式将该木马发送到目标机,在目标机中双击运行。
在黑客机中就可以看到目标机SHIMISI上线,并且可以读取该主机中所有文件。
此外,我们还可以在黑客机中对目标机进行屏幕截获,甚至还可以点击左上角从而对鼠标和键盘进行操作。
1.4.4 灰鸽子木马的行为分析
在这一部分中我们将利用Process Monitor和Wireshark监控感染灰鸽子木马的被控端的文件行为和注册表行为。
首先在Process Monitor中过滤包含“灰鸽子”的进程,发现有大量对注册表的操作。
右键选择Jump to可以使用注册表编辑器查看程序对哪些注册表进行了修改。在其中可以找到与灰鸽子有关的注册表文件GrayPigeon_Hacker.com.cn,它会为灰鸽子程序的启动运行进行一些基础的配置。
接着打开Wireshark分析灰鸽子的网络流量。因为灰鸽子下,黑客机和受控机之间的通信方式是TCP,所以将TCP作为条件进行过滤。可以得到许多黑客机(ip:10.201.97.73)和受控机(ip:10.201.97.58)之间的通信,尤其是在捕获屏幕的时候。
接下来尝试清除灰鸽子木马。由于灰鸽子默认使用的是EXPLORER.EXE作为自己的隐藏进程,打开Process Monitor进行检测,可以看到运行着大量的EXPLORER.EXE进程。
在任务管理器中结束进程。
进入系统C盘目录,搜索服务端程序,并删除该服务端程序。
再次打开黑客机的灰鸽子界面, 可以发现此时受控机SHIMISI已经下线,重新启动受控机也不会再自动上线。
1.4.5课后习题思考与实践
尝试对大白鲨木马进行行为分析,打开大白鲨木马主界面如下。
木马配置方式与灰鸽子类似。
配置完成后在受控机中安装,打开黑客机机客户端,发现受控机上线成功。
使用 Process Monitor 监控木马进程,可以看到大白鲨同样也是系统盘复制了客户端程序。
使用Wireshark对大白鲨木马进行抓包,同样发现其采用的也是TCP协议。
清除大白鲨木马的方法与清除灰鸽子类似,由于已知大白鲨的注入程序是USERINIT.EXE。打开进程管理器,找到一个名叫userinit的进程,将其结束即可。
回到黑客机服务端发现已经找不到受控机了。
1.5实验体会和拓展思考
这里值得说的一点就是大白鲨默认使用的是8090端口,而之前我已经用8090端口配置过其他任务。这里记录解除端口的可行办法。
- 查看端口号的占用情况命令:netstat -n或netstat -ano;
- 如果想要查找特定的端口,可以输入并回车执行netstat -aon|findstr “8090”,即为查找端口号为80的信息。
- 查看pid所对应的服务:tasklist|findstr 3304;
- 关闭该服务,解除端口占用: