1.实验内容
一、恶意代码文件类型标识、脱壳与字符串提取
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
三、分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
(2)找出并解释这个二进制文件的目的;
(3)识别并说明这个二进制文件所具有的不同特性;
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
(6)给出过去已有的具有相似功能的其他工具;
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
(8)给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。
四、取证分析实践
Windows 2000系统被攻破并加入僵尸网络
问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:
(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
(2)僵尸网络是什么?僵尸网络通常用于什么?
(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
(5)哪些IP地址被用于攻击蜜罐主机?
(6)攻击者尝试攻击了那些安全漏洞?
(7)那些攻击成功了?是如何成功的?
2.实验步骤
2.1恶意代码文件类型标识、脱壳与字符串提取
2.1.1分析rada样本的文件格式、运行平台和加壳工具
使用file指令,可以获得文件格式,运行平台等信息
使用peid软件发现加壳工具为UPX
使用超级巡警脱壳器进行脱壳
2.1.3利用字符串提取工具对脱壳后的样本进行分析
选择PE Executable,发现作者为Raul Siles && David Perez,软件制作时间为2004年9月
2.2利用IDA Pro静态或动态分析所给的exe文件
2.2.1分析crackme1.exe
运行crackme1.exe在运行时会输出“I think you are missing something.”在输入一个参数时会输出“Pardon?What did you say”,由此可以推断关键在于找到某个正确的参数。
打开IDA,打开View页面:
在其中我们发现了strcmp、fprintf等函数,推测这些有关字符串处理的函数有我们要找的参数有关。根据其中的sub_401280在Functions中找到相应位置:
打开函数流程图,发现参数为“I know the secret”
成功得到结果:
2.2.2分析crackme2.exe
用同样的方法分析函数流程图,发现输入的第一个参数要求为crackmeplease.exe。因此,我们将文件改名为crackmeplease.exe。
得出结果:
2.3分析恶意代码样本rada,并撰写报告
2.3.1信息获取过程
使用file命令和md5sum命令,得到RaDa.exe的摘要和基本信息。可以看到编译时间等信息。
打开process explorer运行脱壳后的Rada
分析以上内容:
1.从注册表路径 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 以及RegWrite、RegRead 等操作可知,该恶意程序试图通过注册表启动项实现开机自启,从而长期驻留目标主机。
2.存在多个IP地址相关的 URL信息,推测该程序是一个Web端控制的恶意工具。
3.字符串 Starting DDoS Smurf remote attack...直接表明该程序具备DDoS攻击能力。
4.字符串 Security through obscurity is the key. 体现了攻击者通过加壳、自定义协议、模糊命名等方式来规避检测,这也解释了该程序脱壳后才暴露这些关键信息的原因。
2.3.2问题回答
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
摘要:caaa6985a43225a0b3add54f44a0d4c7
基本信息:exe文件,在win32上运行,文件运行有图形界面。
(2)找出并解释这个二进制文件的目的;
通过注册表启动项长期驻留目标主机,借助 Web 界面接收攻击者指令,完成文件上传、下载、命令执行等操作。发起DDoS 攻击等。
(3)识别并说明这个二进制文件所具有的不同特性;
同时具备持久化、远程控制、DDoS 攻击、文件操作等功能,属于复合型恶意工具。
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
该程序原始状态通过加壳隐藏代码逻辑,增加逆向工程的难度,迫使分析者需先脱壳才能获取有效字符串信息。其加壳过程主要通过压缩代码段、修改程序入口、添加解壳逻辑来实现对二进制文件的封装。
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
应该是后门,因为不属于传统的病毒,不依赖自我复制传播;也不属于蠕虫,无主动扩散的机制。
(6)给出过去已有的具有相似功能的其他工具;
Metasploit Meterpreter和veil
(7)可能调查出这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
可以,之前我们已经找到了开发者的名字。但也需要需结合网络溯源、样本的编译特征、字符串提取等技术环境。并且作者需要留下自己的相关信息。
(8)给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。
1.基于特征码的检测
提取样本的唯一二进制特征码,将其录入杀毒软件的病毒库,当文件匹配该特征码时报警。
2.基于行为的检测
监控系统中异常行为,比如修改文件、连接某些特定网站等行为,一旦触发则判定为恶意。
3.基于网络流量的检测
分析网络流量中的异常模式,比如向非知名域名发送包含RaDa、cgi-bin的HTTP请求等操作。
4.基于沙箱动态分析的检测
将样本放入沙箱环境中运行,观察其行为:是否创建持久化注册表项、是否连接可疑 IP、是否执行 DDoS 攻击指令、是否有异常文件操作等,沙箱根据这些行为日志判定其恶意性。
5.完整性校验法
使用哈希值或数字签名,对软件进行验证,若不同则说明软件被篡改,大概率就是恶意软件。
2.4取证分析实践
2.4.1IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC是一种基于文本的实时通信协议,主要用于多人在线聊天和群组讨论,也被恶意攻击者用于构建僵尸网络。当 IRC 客户端申请加入一个 IRC 网络时,会发送NICK <昵称>和USER <用户名> <主机名> <服务器名> <真实姓名>命令来设置昵称和提供身份信息;其一般使用的 TCP 端口为 6667,此外还有 6660 - 6666、6668 - 6669 以及 8000、8080 等备用或规避检测的端口。
2.4.2僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络是由攻击者通过恶意软件控制的大量受感染主机组成的分布式网络,这些主机被植入远程控制程序后,会在攻击者的指令下协同工作,且用户通常不知情。
僵尸网络的常见用途包括:发起大规模 DDoS 攻击、发送垃圾邮件或钓鱼邮件、窃取用户敏感信息、挖矿、传播恶意软件等,是攻击者实施网络犯罪的重要工具。
2.4.3蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
启动wireshark,将条件设置为ip.src == 172.16.134.191 and tcp.dstport == 6667,得到蜜罐主机与IP地址为209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.126.161.29的这些IRC服务器进行过通信。
2.4.4在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
使用tcpflower工具,筛选指定的IP地址和端口
针对IP地址为209.196.44.172的主机
使用命令统计行数
从输出中可以看到有3461个不同的主机访问了这一僵尸网络。
2.4.5哪些IP地址被用于攻击蜜罐主机?
筛选出ip并存入我的文件中:
如下图,共165个ip地址:
2.4.6攻击者尝试攻击了那些安全漏洞?
在wireshark中的协议分级中看到大量的tcp包
筛选tcp端口:
可以看到共有6个响应的端口。再筛选udp端口:
可以看到为137号端口
2.4.7那些攻击成功了?是如何成功的?
经过分析,发现135,139,25,137没有可疑行为。
445号:
发现了PSEXESVC.EXE文件的传输,这可以用于攻击。
4899号:
大量的PSH包,极有可能存在攻击。
80:
大量的字符“c”,存在缓冲区溢出攻击,攻击成功。
3.问题及解决方案
问题1:在powershell中运行crackmeplease.exe失败
问题1解决方案:参考同学的方案,改成使用cmd运行,避免了第一个参数不同。
问题2:在kali中运行部分文件时提示权限不足。
问题2解决方案:使用sudo命令提高权限。
4.学习感悟、思考
通过这次实验我能深刻感悟到,恶意代码分析与网络取证是兼具技术性与实践性的工作,脱壳、静态或动态分析等操作是挖掘恶意代码功能、特征及对抗技术的核心手段,而取证分析则能还原攻击链路、明确僵尸网络等攻击工具的运作逻辑与危害。
整个过程既需要熟练运用专业工具,也需结合协议知识与漏洞原理,才能精准识别恶意行为、追溯攻击痕迹,为网络安全防护与溯源处置提供有力支撑。
)
