1. 实验内容
1.1 实验要求
一、恶意代码文件类型标识、脱壳与字符串提取
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
三、分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
(2)找出并解释这个二进制文件的目的;
(3)识别并说明这个二进制文件所具有的不同特性;
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
(6)给出过去已有的具有相似功能的其他工具;
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
四、取证分析实践
Windows 2000系统被攻破并加入僵尸网络
问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:
(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
(2)僵尸网络是什么?僵尸网络通常用于什么?
(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
(5)哪些IP地址被用于攻击蜜罐主机?
(6)攻击者尝试攻击了那些安全漏洞?
(7)那些攻击成功了?是如何成功的?
2. 实验过程
2.1 恶意代码文件类型标识、脱壳与字符串提取
1.通过命令file RaDa.exe查看文件类型,可以看到它是为MS Windows的80386处理器的一个32位PE可执行文件,而且是GUI(图形用户界面)的文件。
2.使用PEID查看加壳类型,可以看到它是用了UPX的压缩壳。
3.使用超级巡警脱壳机脱壳,脱壳前后对比
通过strings RaDa.exe进行提取,没脱壳是有许多乱码
脱壳后可以看到一些东西了
2.2 使用IDA Pro静态或动态分析
1.先查看crackme1.exe信息
2.使用IDA Pro进行分析
可以看到,如果我们只是单纯地进行了crackme1.exe的运行那么程序将会弹出“I think you are missing something.",如果我们在命令行输入crackme1.exe "I Know the secret,那么程序可以顺利执行,弹出“you know how to ”,如果在后面输入的不是指定的字符串就会弹出“Pardon”。
3.验证
4.查看crackme2.exe的信息
5.使用IDA Pro进行分析
可以看到函数调用的时候和多了一步判断,就是要判断程序的名字和输入的字符串对不对。如果输入crackme2.exe是没有用的,程序名必须是crackmeplease才可以进行接下来的判断。
6.验证
2.3 分析一个自制恶意代码样本rada
1.输入certutil -hashfile RaDa.exe MD5查看哈希值
2.在process explorer里查看Rada的时候可以看到它的操作是creat file,将文件 RaDa.exe 复制到了 C:\RaDa\bin 目录下。
3.在进程监控里点击该恶意程序,右键选择Properties查看详细信息,可以查看它的一些行为:
该恶意程序使用http连接到目标为10.10.10.10的主机下的一个名为RaDa_commands.html的网页上,然后分别下载和上传某些文件,并且在受害主机C盘目录下创建一个文件夹“C:/RaDa/tmp”来保存其下载的文件同时将文件RaDa.exe复制到了 C:\RaDa\bin 目录下,可以看出该恶意代码将其自我复制到主机系统盘,并激活了自启动,还试图从一个HTML页面获取并解析命令,这应该是一个后门程序。该恶意程序中可执行DDos拒绝服务攻击。对注册表进行了Rewrite,它好像自动进入了任务管理器里。可以看到更准确详细的作者姓名Raul siles和David Perze
2.3.1 问题回答
(1)二进制文件的摘要:是caaa6985a43225a0b3add54f44a0d4c7
(2)二进制文件的目的:修改注册表,使其可以在主机中运行,同时建立连接到10.10.10.10。自启动创建后门,施行DDOS攻击。
(3)不同特性:会请求 Web 服务器
(4)采用的防止被分析或逆向工程的技术:UPX
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由:
不具有自主传播模块,不具有隐蔽性而且没有伪装。不具有传播和感染的性质,所以它不属于病毒和蠕虫;没有欺骗性要你自己下载。不是木马。是一个后门程序。
(6)给出过去已有的具有相似功能的其他工具:
qq游戏木马
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
作者:Raul siles和David Perze,通过工具查看。且不加壳的情况下
2.4 取证分析实践
2.4.1 IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
因特网中继聊天(Internet Relay Chat),简称IRC。IRC的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。IRC特点是通过服务器中继与其他连接到这一服务器上的用户交流。通过IRC简介了解IRC的相关内容。
注册时需要发送的消息有三种,分别是口令,昵称和用户信息。格式如下:USER 、PASS 、NICK 。注册完成后,客户端就使用JOIN信息来加入频道,格式如下:JOIN 。
IRC服务器明文传输通常在6667端口监听,也会使用6660—6669端口。SSL加密传输在6697端口。
攻击者滥用IRC构建僵尸网络时,可能使用任意的端口构建IRC僵尸网络控制信道,那么基于端口识别服务不再可靠,要进行基于应用协议特征进行识别(如USER/NICK)。
2.4.2 僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络是攻击者出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络,我们将之称之为僵尸网络,botnet。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
2.4.3 蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
kali中打开wireshark,过滤
得出主要有五台IRC服务器:63.241.174.144, 217.199.175.10, 209.126.161.29, 66.33.65.58, 209.196.44.172。
2.4.4 在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
利用tcpflow导出包信息
生成三个文件:172.016.134.191.01152-209.196.044.172.06667、 209.196.044.172.06667-172.016.134.191.01152和report.xml。
通过cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a"^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x .//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l搜索有多少主机
答案是3461
2.4.5 哪些IP地址被用于攻击蜜罐主机?
执行如图命令
由此生成结果,查看文件
bcc.txt是端口,bcc2.txt是ip
2.4.6 攻击者尝试攻击了那些安全漏洞?
首先查看TCP响应哪些端口
有:135 139 24 445 4899 80
再查看UDP
有:137
接下来逐一分析
135:
只是用来进行连接,没有发生数据的交互
139:
SMB连接
25:
大多都是[FIN ACK],很多重传
445:
有一个PSEXESVC.EXE,这是一种Dv1dr32蠕虫,说明在通过Dv1dr32蠕虫进行攻击。每个IP地址连入的连接都有响应的回应,并且返回信息中含有\PIPE\ntsvcs,这是一个远程调用,所以攻击者肯定是获得了权限,攻击是成功的。
4899:
只有210.22.204.101访问
80:
有缓冲区溢出攻击。发了很多的:HEAD/secure/.htaccess HTTP1.0/,远程攻击者通过以“if:<http://"开头的长header PROPFIND请求,执行任意代码。说明也许这里就是在攻击IIS服务器的漏洞从而获取系统权限。
3. 实验感悟
这次实验没遇到什么配置环境等的问题,就是不知道kali自带了wireshark还白费半天力气下载。最难的部分就是分析最后的数据包,确实是有点恶心,在查阅资料的帮助下勉强做完了。
扫一扫
228
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
