1.实践目标
- 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2.实验步骤
2.1系统运行监控
2.1.1Windows计划任务
我们先创建一个netstatlog.bat文件
tips:可以先创建一个txt文件,然后通过更改后缀名称来实现,并在其中输入以下内容:
在命令行中输入 schtasks /create /TN netstat4312 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 以创建计划任务netstat4312:
tips:
-
TN是TaskName的缩写,我们创建的计划任务名是netstat4312; -
sc表示计时方式,我们以分钟计时填MINUTE; -
TR=Task Run,要运行的指令是 netstat -
b表示显示可执行文件名,n表示以数字来显示IP和端口; -
>表示输出重定向,将输出存放在c:\netstatlog.txt文件中.
将上面创建的bat文件放入c盘中,并观察任务计划程序:
打开属性,修改操作并编辑,将“程序或脚本”改为 c:\netstatlog.bat ,并且将添加参数设置为空:
点击常规,点击使用最高权限运行:
在"条件"选项卡中,将电源默认操作“只有在计算机使用交流电源时才启动此任务”选项关闭:
执行此脚本一定时间,就可以在netstat4312.txt文件中查看到本机在该时间段内的联网记录:
2.1.2导入Exel中进行排序:
tips:因为是在虚拟机中进行的,所以时间我没有同步,懒得搞了,次数也较少。
2.1.2使用sysmon工具
先在官网下载sysmon,解压后在目录中新建20164312.xml文件,并按老师要求输入:
<Sysmon schemaversion="4.20">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition=</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- exclude相当于白名单,不用记录。
- include相当于黑名单,即要记录的。
- Image condition,映像条件,根据自己使用的浏览器更改。例如谷歌浏览器是“chrome.exe”,IE浏览器是“iexplore.exe”,我用的是360浏览器,进程名是“360chrome.exe”,也是以“chrome.exe”结尾的,所以这里只写“chrome.exe”即可。写在exclude中就是不记录由360浏览器创建的进程。
- 网络连接为过滤掉浏览器的网络连接、源IP为127.0.0.1的网络连接和目的端口为137的连接服务,且查看目的端口为80(http)和443(https)的网络连接。
- 137端口的主要作用是在局域网中提供计算机的名字或 IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。
- 远程线程创建记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程。
- explorer.exe是Windows程序管理器或者文件资源管理器
- svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
- winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出。
- powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用
以管理员身份打开命令行,使用指令 Sysmon64.exe -i 安装sysmon
tips:安装过程中的弹窗直接点agree即可。
输入 sysmon64.exe -c 20164312.xml 配置sysmon:
在事件查看器中的应用程序和服务日志下,查看Microsoft->Windows->Sysmon->Operational。
tips:在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等。
在Linux中运行后门程序进行回连,再查看日志,找到相关的后门程序:
tips:在详细信息中可以看到文件的位置,源ip和目的ip,端口等。
2.2恶意软件分析
2.2.1静态分析
使用VirusTotal分析恶意软件
查看这个恶意代码的基本属性:
tips:很多特别详细的介绍,第一次创作时间竟然是2009年,太夸张了。
2.2.2systracer分析
snapshot#1:没有运行后门程序
snapshot#2:运行后门程序中
snapshot#3:获取一段音频
安装systracer,设置监听端口号4312->安装完成:
开始第一张快照,此时还没有运行后门程序:
结果:
第二次快照是运行后门程序中:
第三张快照,此时linux正在获取音频:
主要关注点:
- 读取、添加、删除了哪些注册表项
- 读取、添加、删除了哪些文件
- 连接了哪些外部IP,传输了什么数据(抓包分析)
比较snapshot#1和snapshot#2:
tips:4312_backdoor貌似新建了很多注册表。
选择应用选项卡,来看看有没有我的那个后门程序:
tips:因为是在虚拟机上弄的,所以很直观,直接就看到这个后门程序了,甚至还能看到ip和端口之类的其他信息。
tips:在文件这个项目上,经过我的筛查,好像没有什么是因为后门程序被修改的。
比较snapshot#2和snapshot#3:
tips:后门程序新建了好几个file和key,应该是和 record_mic 指令相关的。
tips:在文件对比中我发现唯一一个比较可疑的就是这个东西,这个东西好像是虚拟交换通路文件,但是被改了,我想可能是为了把音频文件拷贝走才更改的。
tips:audio相关的注册表也被修改了,很明显,这是Linux中record_mic指令下的结果。
3.实验总结
3.1问题回答
- 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
我们可以使用Sysmon,编写配置文件,记录有关的系统日志,还可以使用windows自带的schtasks指令设置一个计划任务,发现网络连接是否异常,如果确认含有恶意代码,可以使用今天学的systracer获取几张snapshot自行分析一下,看看大概是在哪些方面进行了修改。
- 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
可以静态分析,使用VirusTotal、VirusScan工具进行扫描,动态分析,借助systracer工具进行相关的对比,发现有哪些方面别修改了,从而推理出恶意程序到底想干嘛。
3.2实验感想
这次实验在步骤上其实没有什么难点,真正难的是分析,而且我平时对注册表这方面也没什么积累,所以在使用systracer进行对比是,注册表看的我一头雾水,再加上很多单词我也不了解,浪费了很多时间,后来我借助有道词典和别的同学的帮助下多多少少对那些密密麻麻的注册表有了一些了解,总算是能找到哪些是跟我的后门程序相关的操作了,总的来说还是很有收获的,最近我的电脑异常的卡顿,我一直在想是不是我自己电脑也被别人搞了,有机会自行监控一下我不在的时候,电脑都在做些什么,希望有所收获。