恶意软件样本行为分析

实验2  恶意软件样本行为分析

1.1实验名称

恶意软件样本行为分析

1.2实验目的

1. 熟悉 Process Moniter 的使用
2. 熟悉抓包工具 Wireshark 的使用
3. VMware 的熟悉和使用
4. 灰鸽子木马的行为分析

1.3实验步骤及内容

第一阶段：熟悉 Process Moniter 的使用

利用 Process Moniter 监视 WinRAR 的解压缩过程。

利用 Process Moniter 分析 WinRAR 的临时文件存放在哪个文件夹中。

WinRAR 压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭

打开的压缩包。另外一种方式是先关闭打开的压缩包，再关闭打开的文件。利用Process Moniter 分析上述两种方式的异同点。

第二阶段：熟悉抓包工具 Wireshark 的使用

熟悉 Wireshark 软件的使用，着重掌握 Wireshark 的过滤器使用。

使用 Wireshark 抓取登录珞珈山水 BBS 的数据包，并通过分析数据包获得用户名和

密码。

第三阶段：VMware 的熟悉和使用

着重掌握 VMware 的网络设置方式，主要有 NAT 连接、桥接和 Host-Only 模式。

配置自己的木马分析环境。

第四阶段：灰鸽子木马的行为分析

熟悉灰鸽子木马的使用，利用灰鸽子木马控制虚拟机。

利用 Process Moniter 监控感染灰鸽子木马的被控端的文件行为和注册表行为。

利用 Wireshark 监控灰鸽子木马与控制端的网络通信。

提出灰鸽子木马的清除方案。

第五阶段：课后习题思考与实践

尝试对大白鲨木马或 PCShare 木马进行行为分析。

1.4实验关键过程、数据及其分析

1.4.1 熟悉Process Moniter的使用

首先利用Process Moniter监视WinRAR的解压缩过程。打开软件Process Moniter，并点击filter。在弹出的对话框中Architecture下拉框，选择Process Name填写要分析的应用程序名字，点击Add添加、Apply应用。这里也可以增加其他过滤规则。

接着测试解压实验工具中的rar压缩包，同时检测Process Monitor的监控信息，可以发现成功捕获到了WinRAR解压缩过程。

接下来利用Process Moniter分析WinRAR的临时文件存放在哪个文件夹中。

通过查看创建文件的操作对进程过滤，可以发现WinRAR相关的文件开启进程操作，进而发现临时路径，右键jump to，跳转到该路径。

可以看到WinRAR的解压缩临时路径是：C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。

WinRAR 压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包，再关闭打开的文件。利用Process Moniter分析上述两种方式的异同点。

测试先关闭文件，再关闭压缩包，Process Monitor检测情况如下：

测试先关闭压缩包，再关闭文件，Process Monitor检测情况如下：

实验结果显示文件是.txt时两种方式没有明显的区别。但是当文件是word类型，如果先关闭压缩包再关闭word文档会导致文件存储失败。

1.4.2 熟悉抓包工具Wireshark的使用

Wireshark是目前全球使用最广泛的开源抓包软件，其前身为Ethereal，是一个通用的网络数据嗅探器和协议分析器。如果是网络工程师，可以通过Wireshark对网络进行故障定位和排错；如果安全工程师，可以通过Wireshark对网络黑客渗透攻击进行快速定位并找出攻击源。

    首先进入Wireshark主界面选择以太网，点击start即开始抓包。

接着使用Wireshark 抓取登录珞珈山水BBS的数据包，并通过分析数据包获得用户名和密码。打开武汉大学BBS网站，利用Wireshark捕获数据包，对捕获到的数据包进行过滤，看是否可以得到用户名和密码。

当输入用户名和密码，点击登录，可以看到Wireshark软件捕获到了很多流量信息。

然后，我们需要通过过滤器获取HTTP协议且与该IP地址相关的信息。当我们拿到一个网站，需要对其信息进行查询，包括IP地址、端口扫描等，这里通过站长之家获取IP地址，再在Wireshark软件中过滤与该IP相关的流量信息。

接着配置Wireshark的过滤器，过滤条件是“http and ip.addr==218.197.148.129”，仅抓取指定的包如下：

发现内容还是很多。进一步过滤“http and ip.addr==218.197.148.129 and http.request.method==”POST””

可以看到我们刚才登录时输入的账号（lmy）密码（123.com）全部出现。

1.4.3 灰鸽子木马制作

    首先准备实验环境，一台Win2003作为木马受害机，一台WinXP作为黑客机。将两台主机的网络适配器设置为桥接模式，则两者（还有真实机）之间可以互相ping通。

接下来打开灰鸽子程序，点击配置服务程序，可以人为地选择生成的漏洞发送给目标主机。配置的第一步是将黑客机的ip地址作为目标机将要连接到的地址。

可以在安装选项里进一步设置。一般来说，黑客会将启动项设置中的显示名称和服务名称尽可能设置得像Windows中真实的服务，这里为了实验方便取名为test_1024并将生成程序保存到桌面。

接下来通过共享文件夹的方式将该木马发送到目标机，在目标机中双击运行。

在黑客机中就可以看到目标机SHIMISI上线，并且可以读取该主机中所有文件。

此外，我们还可以在黑客机中对目标机进行屏幕截获，甚至还可以点击左上角从而对鼠标和键盘进行操作。

1.4.4 灰鸽子木马的行为分析

在这一部分中我们将利用Process Monitor和Wireshark监控感染灰鸽子木马的被控端的文件行为和注册表行为。

首先在Process Monitor中过滤包含“灰鸽子”的进程，发现有大量对注册表的操作。

右键选择Jump to可以使用注册表编辑器查看程序对哪些注册表进行了修改。在其中可以找到与灰鸽子有关的注册表文件GrayPigeon_Hacker.com.cn，它会为灰鸽子程序的启动运行进行一些基础的配置。

接着打开Wireshark分析灰鸽子的网络流量。因为灰鸽子下，黑客机和受控机之间的通信方式是TCP，所以将TCP作为条件进行过滤。可以得到许多黑客机（ip：10.201.97.73）和受控机（ip：10.201.97.58）之间的通信，尤其是在捕获屏幕的时候。

接下来尝试清除灰鸽子木马。由于灰鸽子默认使用的是EXPLORER.EXE作为自己的隐藏进程，打开Process Monitor进行检测，可以看到运行着大量的EXPLORER.EXE进程。

在任务管理器中结束进程。

   进入系统C盘目录，搜索服务端程序，并删除该服务端程序。

再次打开黑客机的灰鸽子界面， 可以发现此时受控机SHIMISI已经下线，重新启动受控机也不会再自动上线。

1.4.5课后习题思考与实践

尝试对大白鲨木马进行行为分析，打开大白鲨木马主界面如下。

木马配置方式与灰鸽子类似。

配置完成后在受控机中安装，打开黑客机机客户端，发现受控机上线成功。

使用 Process Monitor 监控木马进程，可以看到大白鲨同样也是系统盘复制了客户端程序。

使用Wireshark对大白鲨木马进行抓包，同样发现其采用的也是TCP协议。

清除大白鲨木马的方法与清除灰鸽子类似，由于已知大白鲨的注入程序是USERINIT.EXE。打开进程管理器，找到一个名叫userinit的进程，将其结束即可。

回到黑客机服务端发现已经找不到受控机了。

1.5实验体会和拓展思考

这里值得说的一点就是大白鲨默认使用的是8090端口，而之前我已经用8090端口配置过其他任务。这里记录解除端口的可行办法。

1. 查看端口号的占用情况命令：netstat -n或netstat -ano；

1. 如果想要查找特定的端口，可以输入并回车执行netstat -aon|findstr “8090”，即为查找端口号为80的信息。

1. 查看pid所对应的服务：tasklist|findstr 3304；

1. 关闭该服务，解除端口占用：