zoukankan      html  css  js  c++  java
  • 20175307 2020-4 《网络对抗技术》Exp4 恶意代码分析

    一、实践目标

    1.实践内容

    系统运行监控
    使用如计划任务每隔一分钟记录电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。目标:找出所有连网的程序的连接和操作,这个操作是否合适合理,并有针对性的抓包做进一步的分析;
    安装配置sysinternals中的sysmon工具,设置合理的配置文件,监控主机的重点事可疑行为;
    实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行(难点在于从大量数据中理出规律、找出问题)。
    恶意软件分析
    分析该软件在启动回连,安装到目标机及其他任意操作时(如进程迁移或抓屏),该后门软件:
    读取、添加、删除了哪些注册表项;
    读取、添加、删除了哪些文件;
    连接了哪些外部IP,传输了什么数据(抓包分析)。

    二、实践步骤

    1.使用schtasks指令监控系统

    (1)使用schtasks指令添加netstat5307计划任务,schtasks /create /TN netstat5307 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > C:UsersGSC etstatlog.txt"

    (2)新建schtasks5307.txt

    date /t >> C:UsersGSC
    etstat20175307.txt 
    
    time /t >> C:UsersGSC
    etstat20175307.txt 
    
    netstat -bn >> C:UsersGSC
    etstat20175307.txt
    

    并另存为C盘schtasks5307.bat
    (3)修改计划程序
    首先修改程序或脚本,更改为schtasks5307.bat。

    其次修改安全选项,将该计划任务设置不管用户是否登录都要运行,并使用最高权限。

    (4)经过1个小时后,查看记录文件。

    (5)用excel分析数据。

    经过设置后,数据在Excel文件中

    (6)可视化
    透视图:
    参考博客:https://www.cnblogs.com/zjy1997/p/8824717.html#4.1

    根据上图,最多的是svchost.exe为169,其次是QQLiveService.exe为165,lkads.exe、lkcitdl.exe、lktsrv.exe、mDNSResponder.exe、nidmsrv.exe、nvcontainer.exe、AppleMobileDeviceService.exe并列为110。除了QQ,我并不太清楚其他的exe是干啥的。同时我还发现了backgroundTaskHost.exe。

    nidmsrv.exe,lkcitdl.exe,lktsrv.exe,lkads.exe通过查询为National Instruments的服务进程。
    nvcontainer.exe为NVIDIA的进程。
    mDNSResponder.exe和AppleMobileDeviceService.exe是iTunes软件对苹果移动设备提供支持的服务。
    QQLiveService.exe是腾讯公司的进程。
    backgroundTaskHost.exe通过数字签名是Microsoft Windows

    2.使用sysmon工具监控系统

    (1)下载Sysinternals Suite,查看版本信息。

    (2)创建配置文件sysmon20175307.xml

    (3)管理员身份执行Sysmon64.exe -i sysmon20175307.xml

    (4)查看捕获信息
    打开事件查看器(本地,在应用程序和服务日志Microsoft-Windows-Sysmon可以查看
    图:本地事件查看器
    在列表的靠前位置我找到一个searchfilterhost.exe,这是一个搜索进程,进程被捕获是因为,我搜索了事件查看器,所以该进程会被发现并捕获。

    3.利用实验3的后门文件进行分析

    (1)win10反弹连接Kali,

    (2)Kali获得shell

    (3)执行了screenshot命令、dir、getpid、getuid等操作

    (4)分析事件查看器

    ps:因为靶机win10是虚拟机,而且平台是VM不是VB,所以没法获取摄像头。

    4.SysTracer

    SysTracer是一款集成HIPS以及进程行为跟踪功能的安全辅助工具,可以跟踪并监视进程对整个系统的修改行为,包括文件操作,注册表操作,内存操作和危险行为。SysTracer可以监视全部进程,或者用户指定的某一个进程及其子进程,并提供监视日志以帮助用户对特定进程的行为进行分析。可在任何想要的时间获取无数个屏幕快照,可比较任何一对想要的屏幕快照,并且观察其间的不同之处。获取屏幕快照通常会持续几分钟的时间,取决于文件和文件夹的数量和注册表项目的总数。

    Snapshot #1是未植入恶意软件前
    Snapshot #2是植入恶意软件后(runme.exe执行后)
    Snapshot #3是执行回连,并执行MSF后

    经过Compare,发现了新增的后门exe
    图:SysTracer发现

    根据下面两张图

    systracer发现了py_tcp的回连操作,并准确地记录了tcp的地址和端口,正好为Kali的ip地址192.168.43.132和端口5307。
    同时,Kali获得回连后,进行了四个操作,对应Systracer中的四个问号操作。之后Win10的防火墙将后门文件给删除了。

    5.实验后回答问题

    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    1.使用Sysmon,通过定制xml文件进行监视。
    2.使用Systracer获取快照,然后进行对比,进而得到系统状态的变化。
    3.Wireshark捕获包后进行分析。
    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    首先可以查看该进程或程序的数字证书,正常的exe的数字证书都是可以经得起校验的。

    经过对比,可以很清楚地感觉到py后门文件的危险性。
    其次可以通过实验3中的病毒检测网站VirusTotal进行检测,或者使用360进行木马查杀

    6.实验感想

    现在的防御手段比较完善,实验3和实验2制作的病毒进行回连之后,无法长时间存活,就会被电脑的杀毒软件检测并清理掉。本次实验花费时间较长,一方面是环境配置花费时间过多,出现的问题是本机Win10无法连接Kali,且Win7无法使用Sysmon,所以只能重新配置一台Win10虚拟机。另一方面是对实验过程的不熟悉,以及无法准确熟练地使用软件捕获后门程序“干坏事”的情况。

  • 相关阅读:
    希腊字母写法
    The ASP.NET MVC request processing line
    lambda aggregation
    UVA 10763 Foreign Exchange
    UVA 10624 Super Number
    UVA 10041 Vito's Family
    UVA 10340 All in All
    UVA 10026 Shoemaker's Problem
    HDU 3683 Gomoku
    UVA 11210 Chinese Mahjong
  • 原文地址:https://www.cnblogs.com/gsc20175307/p/12703768.html
Copyright © 2011-2022 走看看