原理与实践说明
1. 实践目标
监控你自己系统的运行状态, 看有没有可疑的程序在运行.
分析一个恶意软件, 就分析 Exp2 或 Exp3 中生成后门软件; 分析工具尽量使用原生指令或 sysinternals,systracer 套件.
假定将来工作中你觉得自己的主机有问题, 就可以用实验中的这个思路, 先整个系统监控看能不能找到可疑对象, 再对可疑对象进行进一步分析, 好确认其具体的行为与性质.
2. 实践内容概述
系统运行监控
使用如计划任务, 每隔一分钟记录自己的电脑有哪些程序在联网, 连接的外部 IP 是哪里. 运行一段时间并分析该文件, 综述分析结果.
安装配置 sysinternals 里的 sysmon 工具, 设置合理的配置文件, 监控自己主机的重点事可疑行为.
分析该软件在 (1) 启动回连,(2)安装到目标机 (3) 及其他任意操作时(如进程迁移或抓屏, 重要是你感兴趣). 该后门软件
读取, 添加, 删除了哪些注册表项
读取, 添加, 删除了哪些文件
连接了哪些外部 IP, 传输了什么数据
3. 基础问题回答
如果在工作中怀疑一台主机上有恶意代码, 但只是猜想, 所有想监控下系统一天天的到底在干些什么. 请设计下你想监控的操作有哪些, 用什么方法来监控.
使用 Windows 自带的 schtasks 指令设置一个计划任务, 发现网络连接异常
使用 Sysmon, 编写配置文件, 记录有关的系统日志
使用 Process Explorer 工具, 监视进程执行情况.
使用 Process Monitor 工具, 监视文件系统, 注册表, 进程 / 线程的活动.
如果已经确定是某个程序或进程有问题, 你有什么工具可以进一步得到它的哪些信息.
使用 systracer 工具分析恶意软件, 查看其对注册表和文件的修改.
使用 Wireshark 进行抓包分析, 监视其与主机进行的通信过程.
使用 Process Explorer 工具或 Process Monitor 工具, 监视文件系统, 注册表, 进程 / 线程的活动.
实践过程
1. 使用 schtasks 指令监控系统
使用 schtasks /create /TN netstat5332 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn> c:\netstatlog.txt" 命令创建计划任务 netstat5332:
在 C 盘中创建一个 netstat5332.bat 脚本文件(可先创建 txt 文本文件, 使用记事本写入后通过修改文件名来修改文件格式)
在其中写入以下内容, 如下图所示:
打开任务计划程序, 可以看到我们新创建的这个任务:
双击这个任务, 点击操作并编辑, 将 "程序或脚本" 改为我们创建的 netstat5332.bat 批处理文件.
在属性中 "常规" 一栏最下面勾选 "使用最高权限运行", 不然程序不会自动运行
在属性中 "条件" 这一选项中的 "电源" 一栏中, 取消勾选 "只有计算机使用交流电源才启动此任务", 防止电脑一断电任务就停止
执行此脚本一定时间, 就可以在 netstat5318.txt 文件中查看到本机在该时间段内的联网记录:
当记录的数据足够丰富时, 停止任务, 将所得数据在 Excel 中进行分析, 此过程要一直保持开机联网状态才能持续监控
统计图如下:
综合分析, 联网最多的是是我 2345 输入法对应的程序 2345PinyinCloud.exe.
2. 使用 sysmon 工具监控系统
Sysmon 是微软 Sysinternals 套件中的一个工具. 它以系统服务和设备驱动程序的方法安装在系统上, 并保持常驻性. sysmon 用来监视和记录系统活动, 并记录到 Windows 事件日志, 可以提供有关进程创建, 网络链接和文件创建时间更改的详细信息.
首先创建配置文件 sysmon5332.txt, 并输入如下的代码:
- <Sysmon schemaversion="9.01">
- <!-- Capture all hashes -->
- <HashAlgorithms>*</HashAlgorithms>
- <EventFiltering>
- <!-- Log all drivers except if the signature -->
- <!-- contains Microsoft or Windows -->
- <DriverLoad onmatch="exclude">
- <Signature condition="contains">microsoft</Signature>
- <Signature condition="contains">Windows</Signature>
- </DriverLoad>
- <NetworkConnect onmatch="exclude">
- <Image condition="end with">iexplorer.exe</Image>
- <SourcePort condition="is">137</SourcePort>
- <SourceIp condition="is">127.0.0.1</SourceIp>
- </NetworkConnect>
- <NetworkConnect onmatch="include">
- <DestinationPort condition="is">5332</DestinationPort>
- <DestinationPort condition="is">80</DestinationPort>
- <DestinationPort condition="is">443</DestinationPort>
- </NetworkConnect>
- <CreateRemoteThread onmatch="include">
- <TargetImage condition="end with">explorer.exe</TargetImage>
- <TargetImage condition="end with">svchost.exe</TargetImage>
- <TargetImage condition="end with">winlogon.exe</TargetImage>
- <SourceImage condition="end with">powershell.exe</SourceImage>
- </CreateRemoteThread>
- </EventFiltering>
- </Sysmon>
安装 sysmon:sysmon -accepteula -i -n
在命令行下使用 sysmon -c Sysmon20165332.xml 命令可以对 sysmon 进行配置指定配置文件
查看 "事件查看器", 选择日志的位置, 应用程序和服务日志 / Microsoft/Windows/Sysmon/Operational, 在这里, 我们可以看到按照配置文件的要求记录的新事件, 以及事件 ID, 任务类别, 详细信息等.
启动回连, 安装到目标主机.
输入 getpid 查询进行数据筛选
在服务日志中发现了后门程序的痕迹
3. 恶意软件分析
(1)静态分析:
文件扫描(VirScan 工具)
使用在线 VirusScan 工具对上次实验中生成的. jar 文件进行扫描
点击 哈勃文件 分析查看详细分析结果:
在进程行为中可以看到, 可疑行为包括隐藏窗口创建进程, 创建进程和创建本地线程
在文件行为中可以看到, 可疑行为包括创建文件, 修改文件内容, 删除文件和查找文件
在网络行为中可以看到, 可疑行为包括建立到一个指定的套接字连接和按名称获取主机地址, 其中建立到一个指定的套接字连接就是实现 kali 反弹连接, 获取受害机权限的方法.
在其他行为中可以看到, 可疑行为包括打开互斥体, 打开事件和创建事件对象
(2)动态分析:
systracer 分析恶意软件
第一步: 下载安装 Systracer.
一. 首先下载完成后进行安装, 步骤为: agree->选第二个
->设置监听端口号
->安装完成
二. 在打开后门前先快照一下, 点击 "take snapshot", 如图, 按照以下步骤进行:
三. Kali 打开 msfconsole, 完成相关设置后开始监听, Windows 运行后门后, 拍摄快照:
四. 进行分析:
1. 点击上方 "Applications"->左侧 "Running Processes"->找到后门进程 "20165329_backdoor.exe"->点击 "Opened Ports" 查看回连地址, 远程地址和端口号:
2. 在快照界面 "Snapshots" 右下角点击 "Compare", 比对一下回连前后计算机发生的变化, 所有蓝色标注的地方, 就是前后发生变化的地方:
3. 此外还对注册表中 hkey_local_machine 进行了修改, 修改内容如下:
4. 此外我们可以通过查看后门软件的 "opened handles"(打开的句柄)来对比他们都做了什么
5. 可以看到后门的目标及源 ip 和端口信息
实验感想
本次实验的重点在分析恶意代码. 我们学习使用了数款用于检测恶意代码的指令或是软件, 例如 SysTracer,Sysmon 等工具.
通过学习了解到, 恶意代码的分析方法主要分为静态分析方法和动态分析方法. 这两种方法在本次实验中都有所涉及.
我们要时常对电脑的行为进行监控, 不能只依靠杀毒软件, 杀毒软件不是百分之百安全的.
来源: http://www.bubuko.com/infodetail-3013918.html