其他分享
首页 > 其他分享> > Exp4-恶意代码分析

Exp4-恶意代码分析

作者:互联网

Exp4-恶意代码分析

目录

一、实践目标

1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。

1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

二、实践内容

1、系统运行监控

1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

先来学习一下schtasks的命令,贴上参考链接schtasks的命令

image-20210410204642213

date /t >> C:\Users\misaka\Desktop\netcontrol1221.txt
time /t >> C:\Users\misaka\Desktop\netcontrol1221.txt
netstat -bn >> C:\Users\misaka\Desktop\netcontrol1221.txt

image-20210410205250974

image-20210410205639746

image-20210410210200845

image-20210410211044713

image-20210410212102414

2.安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

在开始前,先学习一下sysmon工具,贴上链接:使用轻量级工具Sysmon监视你的系统

过滤事件选项:
UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine
- 进程创建时间FileCreatTime

```
过滤事件选项:
UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime
```

- 网络连接NetworkConnect

```
过滤事件选项:
UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName
```

- 远程线程创建CreateRemoteThread

```
过滤事件选项:
UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction
```
<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

2、分析恶意软件

1. 使用SysTracer

image-20210411104727855

image-20210411105545728

image-20210411105901930

image-20210411110918077

可以发现,由于远程扫描设置了端口号,SysTracer添加了系统注册表。

image-20210411112438322

image-20210411111828875

image-20210411112611142

通过查看Running ProcessesOpened HandlesOpened Ports,可以更直观地看到后门程序的执行,以及它添加了哪些句柄和连接的是哪个端口。

image-20210411113506001

这一串,就是后门程序添加的句柄。

image-20210411113532230

这里可以看到后门程序是通过``49165端口对192.168.242.128:1221`进行连接,这里可以看出后门采用的是反弹端口连接方式。

但是由于提示SysTracer not registered,导致我们无法再获取更加详细的信息,这个可能是因为我们未激活软件所以在试用阶段不能使用其全部功能。虽然详细信息无法探知,可至少能够得知哪些地方被更改了。

image-20210411113200779

image-20210411113824626

由于我们已经执行了shell并且进行了一些操作(例如:查看当前文件夹内的文件夹等),所以我们可以很明显地发现注册表发生了改变。

此处变化的注册表有:

HRZR_PGYFRFFVBA //
{6Q809377-6NS0-444O-8957-N3773S02200R}VFfGenpre FIfGenpre.rkr
DhcpInterfaceOptions
LeaseObtained Time
LeaseTeminatesTime
T1
T2
Seed

image-20210411114233427

image-20210411114348894

由于我们在kali中执行了shell,并且执行了dir指令查看文件夹内容,相对应的这里会执行cmd.exe和conhost.exe

image-20210411114505446

同时,系统删除了一系列的dll,添加了相应的句柄。

image-20210411114616923

2. 使用wireshark进行抓包分析

image-20210411120050574

可以发现,首先是两台机器进行了TCP协议的三次握手,发送了大量的ACK包。

说明该后门程序采用反弹式连接;建立连接后,双方会不断传一大堆ACK包,有时还伴有PSH+ACK包(进行数据传输)。

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

实验体会

上次实验是教我们怎样入侵计算机,本次实验是教我们怎样查看分析计算机是否被入侵。本次实验略有难度,很多软件都是以前没有用国的,对于注册表之类的系统文件也极少接触,不得不通过查看学长学姐的博客,查阅其他资料,才勉强可以分析。对于现实社会的我们来说,检测入侵比入侵更加有意义和实用性。因为入侵是违法的,但是检测入侵是我们都可以做的。通过自己动手实现,对恶意代码有了更加深入的理解,意义非凡。

标签:分析,exe,恶意代码,程序,Exp4,监控,使用,netcontrol1221
来源: https://www.cnblogs.com/MisakaYuii-Z/p/14643636.html