1、实验内容
1.1恶意代码文件类型标识、脱壳与字符串提取
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
1.2使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
1.3分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
(2)找出并解释这个二进制文件的目的;
(3)识别并说明这个二进制文件所具有的不同特性;
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
(6)给出过去已有的具有相似功能的其他工具;
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
(8)给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。
1.4取证分析实践
问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:
(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
(2)僵尸网络是什么?僵尸网络通常用于什么?
(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
(5)哪些IP地址被用于攻击蜜罐主机?
(6)攻击者尝试攻击了那些安全漏洞?
(7)那些攻击成功了?是如何成功的?
2、实验目的
通过实践操作提高对恶意代码分析、逆向工程、取证分析和网络安全威胁识别的能力。
3、实验环境
kali Linux虚拟机、主机版本Windows11
4、实验过程与分析
4.1 恶意代码文件类型标识、脱壳与字符串提取
-
4.1.1 使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具
![098e4c7a671a8a276940bb66d798a22b]()
结果显示这里的样本RaDa.exe是32位基于Windows的可执行文件,针对x86处理器,内部有三个段
通过strings查看其内部数据
![22ef6761bdd95214e137b769c2df109e]()
![94e1dafbf29b6756a826812734e198d5]()
在Windows主机中使用软件PEiD对目标文件进行分析。
![843eb30c4ab47dae33deb59de1613f4e]()
结果显示该文件使用了UPX加壳,加壳的入口点、文件偏移量、链接器信息、EP 节点、第一字节、子系统、版本区间、作者的信息等
-
4.1.2 使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理
对RaDa恶意代码样本脱壳处理
![be6c676c2806386bf4634a3cdbdf06e8]()
得到了脱壳后的RaDa_unpacked.exe文件
-
4.1.3 使用IDA Pro对脱壳后的RaDa_unpacked.exe文件进行分析
![bc07ff2d3ef0c798eb8f880c9c9cfe77]()
选择PE Executable
![de3cc86204f2fa89a14d2ab52996f5c2]()
导入我们脱壳过的RaDa_unpacked.exe文件
![64e91dc950b36b2533c7ebc57c3345e6]()
选择IDA ViewA,在地址为00403F7A处可以看到RaDa文件的作者信息,为Raul Siles && David Perez;在地址为00403FD4处可以看到RaDa文件的创作时间,为2004年9月。
![3b8267e6c585cf6a397f1edd373971de]()
![fb0977936a3541a77cfefbe1e5893a9a]()
4.2 使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息
- 4.2.1 分析文件crackme1.exe
在Windows主机上运行这个程序,我的不能直接打开,使用命令行打开
发现当没有输入参数时,程序会返回"I think you are missing something.";
输入参数为1个时,程序会返回"Pardon? What did you say?";
输入参数为1个时,程序会返回"I think you are missing something."
在IDA Pro中打开文件crackme1.exe,选择View→Graphs→Function calls,打开该文件的函数调用图。
函数调用图中,函数sub_401280调用了如fprint、print等函数,这些函数多用于字符串输入输出,因此sub_401280函数中可能存在我们需要的参数信息
找到Function window,在里面找到函数sub_401280双击打开该函数的流程图
观察流程图信息得到输入参数不为2个时,该程序将给出输出“I think you are missing something.”而输入参数为两个且第二个参数是"I know the secret"则程序会输出"You know how to speak to programs, Mr. Reverse-Engineer"我们也输入这个参数试试
- 4.2.2 分析文件crackme2.exe
在Windows主机上运行文件crackme2.exe,输入"I know the secret"返回不对,说明还需要正确的参数
相同的办法打开函数调用图,找到函数sub_401280
函数流程图:
函数调用图:
对着两张图分析一下,这里对于输入参数进行了其他比较,再输入第一个参数要求其为"crackmeplease.exe",我们将程序重命名再试试
这里成功运行得到正确返回We have a little secret:Chocolate。
4.3 分析一个自制恶意代码样本rada
- 4.3.1 分析文件的基本信息
通过输入以下命令对RaDa文件的进行文件类型识别、完整性验证以及时间戳分析:
file RaDa.exe #识别文件类型
md5sum RaDa.exe #计算文件的md5摘要值
exiftool RaDa.exe | grep "Time Stamp" #提取文件元数据并过滤时间戳信息
文件类型:32位Windows GUI程序,针对X86,有三个字段
md5摘要值:caaa6985a43225a0b3add54f44a0d4c7
时间戳信息:2004:10:30 07:59:58+08:00
- 4.3.2 找出并解释这个二进制文件的目的
使用IDA Pro分析脱壳后的RaDa_unpacked.exe文件,打开函数调用图
找到命令mov edx, offset aHttp10_10_10_1;"http://10.10.10.10/RaDa"
该命令将地址http://10.10.10.10/RaDa加载到edx寄存器,这个服务器应该是攻击者的命令终端服务器。
mov edx, offset aRada_commands_ ; "RaDa_commands.html"
mov edx, offset aCgiBin ; "cgi-bin"
mov edx, offset aDownload_cgi ; "download.cgi"
mov edx, offset aUpload_cgi ; "upload.cgi"
这四条指令连续调用了字符串拼接函数,分别将四个字符串复制到内存中。其中RaDa_commands.html可能是攻击者用来下发指令的网页文件。cgi-bin可能是Web服务器上存放脚本的通用目录。download.cgi可能是用于下载新指令或恶意模块的脚本。upload.cgi可能是用于上传窃取数据的脚本。
mov edx, offset aCRadaTmp ; "C:\\RaDa\\tmp"这条指令会在C盘根目录下创建一个名为RaDa的文件夹,并在其中创建一个名为tmp的子文件夹,存放下载的临时文件或窃取的数据。
offset aSoftwareMicros ; "Software\\Microsoft\\Windows\\CurrentVersion"
该文件通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run修改注册表路径,将自身添加为开机自启动项,确保每次开机自动运行
mov edx, offset aCRadaBin ; "C:\\RaDa\\bin"将"C:\RaDa\bin"复制到内存。随后连续调用两次字符串拼接函数,得到完整的可执行文件路径“C:\RaDa\bin\RaDa.exe”
运行该程序
显示超时,最好别再自己电脑上运行,这个虽然显示超时,但实际上运行了,后续还得删掉注册表,不然每次开机都会运行(6)
- 4.3.3 回答以下问题
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
md5摘要为caaa6985a43225a0b3add54f44a0d4c7。32位Windows GUI程序,针对X86,有三个字段
(2)找出并解释这个二进制文件的目的;
在目标机上面创建了自启动的目录,应该属于后门程序。
(3)识别并说明这个二进制文件所具有的不同特性;
UPX加壳、能免杀、隐蔽性高、反编译的后门程序,能开机自启动、与服务器交换数据。
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
该文件采用了UPX加壳技术,它通过压缩原始代码和劫持入口点隐藏程序逻辑。其应对方法是使用UPX脱壳工具还原原始代码,并通过动态调试绕过反调试机制。
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
属于后门程序,通过伪装诱导用取证分析实践户执行后在用户机上面生成一系列后门程序,让用户在不知情的情况下留存后门并且不易删除
(6)给出过去已有的具有相似功能的其他工具;
msfvenom和veil。
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
开发者是Raul Siles && David Perez。使用IDA Pro,并且需要脱壳。
(8)给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。
1、基于特征码的检测方法:从已知的恶意软件样本中提取特征码,如特定的字节序列、指令序列等,然后将待检测文件与特征码库进行对比,若发现匹配的特征码,则判定该文件为恶意软件。
2、基于行为分析的检测方法:通过监视程序在主机或网络中的行为,如进程创建、文件操作、网络连接、注册表修改等,分析其行为模式是否符合恶意软件的特征。例如,若一个程序频繁修改系统关键文件或尝试连接可疑的外部服务器,就可能被判定为恶意软件。
3、启发式检测方法:为恶意代码的各种特征设定一个阈值,扫描器分析文件时,根据文件的特征计算其总权值,如果总权值超出设定值,则将其视为恶意代码。例如,文件中包含大量可疑的API调用、加密代码片段等,每个特征都有对应的权值,当权值总和达到阈值时,就判断该文件可能是恶意软件。
4、基于机器学习的检测方法:利用机器学习算法,如支持向量机、决策树、随机森林、神经网络等,从大量已知的恶意软件和正常软件样本中提取特征并训练分类模型,然后使用该模型对未知文件进行分类,判断其是否为恶意软件。例如,通过分析文件的静态特征和动态特征,提取特征向量输入到机器学习模型中进行检测。
5、云查杀技术:融合了云计算、数据挖掘、恶意软件鉴别等技术。将待检测文件的特征信息上传到云端服务器,云端服务器利用其强大的计算能力和丰富的恶意软件样本库进行分析和比对,然后将检测结果返回给用户。
4.4取证分析实践
-
4.4.1 IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC是Internet Relay Chat的缩写,是一种基于文本的在线聊天协议,用户通过客户端连接服务器并加入频道进行交流。客户端加入IRC网络时会发送“NICK”消息指定昵称和“USER”消息提供用户信息。IRC通常使用TCP端口6667,有时也会使用6660 - 6669范围内的其他端口。 -
4.4.2 僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络是由大量被恶意软件感染的计算机组成的网络,这些计算机在用户不知情的情况下被黑客控制。黑客通过命令与控制服务器远程操控这些僵尸计算机,用于发动分布式拒绝服务攻击、发送垃圾邮件、窃取敏感信息、挖掘加密货币等恶意活动。 -
4.4.3 蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
蜜罐主机与IP地址为209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10的IRC服务器进行了通信。
在Wireshark中打开botnet_pcap_file.dat文件,通过命令ip.src172.16.134.191 and tcp.dstport6667筛选源IP为172.16.134.191,目的端口为6667的数据包。
IRC服务器的IP分别是209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10
- 4.4.4 在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
Kali虚拟机中安装软件tcpflower
通过命令tcpflow -r botnet_pcap_file.dat “host 209.196.44.172 and port 6667”,使用tcpflow,从botnet_pcap_file.dat文件中,筛选出与IP为209.196.44.172且端口为6667的主机相关的所有TCP流量数据。
执行后,tcpflow会生成report.xml报告文件,包含了TCP流量的统计信息。
查找源IP为209.196.44.172的文件cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l
有3457台主机
- 4.4.5 哪些IP地址被用于攻击蜜罐主机?
指令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20232329.txt;wc -l 20232329.txt从botnet_pcap_file.dat文件中,找出所有向主机172.16.134.191发送数据包的源IP地址,保存并统计它们的具体数值。
得到这里的ip:
- 4.4.6 攻击者使用的安全漏洞
Wireshark中打开将botnet_pcap_file.dat文件,找到统计->协议分析
可以看出,攻击者大部分使用了TCP数据包(占比约99.7%),也有使用少量的UDP数据包(占比约0.3%)。
在Kali终端中使用指令tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq筛选主机172.16.134.191发起的所有TCP的源端口号
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq,筛选主机172.16.134.191发送的所有UDP数据包的源端口号。
- 4.4.7 成功的攻击与原因
tcp
135端口ip.addr==172.16.134.191 and tcp.port==135
没有后续的恶意数据包
139端口ip.addr==172.16.134.191 and tcp.port==139
攻击者尝试访问共享目录\PC0191\c,但服务器返回RST拒绝访问,后续也没有恶意数据包。
25端口ip.addr==172.16.134.191 and tcp.port==25
没有后续的恶意数据包
445端口ip.addr==172.16.134.191 and tcp.port==445
进行了大量重复的NTLMSSP认证,看起来像是在进行扫描,获取目标主机存在的活跃信息,方便后续进行链接
4899端口ip.addr==172.16.134.191 and tcp.port==4899
攻击者通过HTTP请求,发送目录遍历攻击HEAD /cgi/../../../../../winnt/system32/cmd.exe?/c+dir。
80端口ip.addr==172.16.134.191 and tcp.port==80
发送大量的c字符来进行攻击缓冲区,同时进行http通信,使得目标主机已经被控制
udp
137端口ip.addr==172.16.134.191 and udp.port==137
没有后续的恶意数据包
心得体会
通过这次的学习,我掌握了恶意代码分析的基本技术,包括文件识别、脱壳、字符串提取以及静态和动态分析,使用专业工具如IDA Pro进行深入的代码分析,并能够理解恶意代码的行为和目的,了解学习了蜜獾主机、僵尸网络等攻击行为。实验过程中几乎没有遇见问题,将所需程序都下载下来就能够使用。这次实验让我认识到了系统监控与恶意代码分析在网络安全领域的重要性,并且对未来深入学习这一领域充满期待。
后台主动服务)
