20175133 Yu Peichen Exp4悪意のあるコード分析

1.練習目標

 1.1は、疑わしいプログラムが実行されているかどうかを確認するために、システムの実行ステータスを監視することです。

 1.2は、マルウェアを分析し、Exp2またはExp3で生成されたバックドアソフトウェアを分析することです。分析ツールは、ネイティブの命令またはsysinternals、systracerスイートをできるだけ使用します。

 1.3今後の作業でホストに問題があると思われる場合、実験でこのアイデアを使用して、まずシステム全体を監視し、疑わしいオブジェクトが検出されるかどうかを確認してから、疑わしいオブジェクトをさらに分析して、特定の動作と性質を確認できます。

2.練習内容

1.システム稼働監視

（1）スケジュールされたタスクなどを使用して、コンピューター上にあるプログラム、および接続されている外部IPがどこにあるかを毎分記録します。しばらく実行してファイルを分析し、分析結果を要約します。目標は、ネットワークに接続されているすべてのプログラム、それらが接続されている場所、およびそれらが行ったことを見つけることです（パケットをキャプチャしない場合にのみ推測できます）そうすることは適切だと思いますか？さらに分析する場合は、対象となるパケットをキャプチャできます。

（2）sysinternalsにsysmonツールをインストールして構成し、適切な構成ファイルを設定して、ホストのメインホストの疑わしい動作を監視します。

実際のログの分析は、Linuxテキスト処理命令などの以前に学習した知識と組み合わせて、独自の創造性を発揮する必要もあります。分析の難しさは、大量のデータから法律を分析し、問題を見つけることにあります。これはすべて、結果のフィルタリング、統計、分類などの処理に依存します。これは、何を使用するかによって異なります。

2.マルウェア分析

（1）接続の開始、（2）ターゲットマシンへのインストール、（3）その他の任意の操作（プロセスの移行や画面キャプチャなど、重要なのは興味があること）のときにソフトウェアを分析します。バックドアソフトウェア

（3）どのレジストリエントリが読み取られ、追加され、削除されるか

（4）読み込み、追加、削除されたファイル

（5）接続されている外部IPと送信されるデータ（キャプチャー分析）

3.実験プロセス

1.スケジュールされたタスクを使用して、コンピューター上にあるプログラム、および接続されている外部IPの場所を1分ごとに記録します。しばらく実行してファイルを分析し、分析結果を要約します。目標は、ネットワークに接続されているすべてのプログラム、それらが接続されている場所、およびそれらが行ったことを見つけることです（パケットをキャプチャしない場合にのみ推測できます）そうすることは適切だと思いますか？

・管理者として、ネットワーク監視用のWindowsコマンドインジケーターの下でコマンドnetstat -nを実行  します。

・新しい.txtファイルを作成して、次のコマンドを入力します。

日付/ t >> d：\ netstat20175133.txt

時間 / t >> d：\ netstat20175133.txt

netstat -bn >> d：\ netstat20175133.txt

・変換後に拡張子名を変更し、それを.batファイルに変換します

・コマンド  schtasks / create / TN netstat / sc MINUTE / MO 1 / TR "d：\ netstat20175133.bat"の入力を続行して、コンピューターのネットワークステータスを常に記録します

・ "タスクスケジューラ"を開いて、スケジュールされたタスクを構成します

 

・Excelでヒストグラムを生成するには、前の先輩や姉のブログを参照してください

・かなり正常に見える

 

2、シスモン

・教師から提供されたSysinternalsをダウンロードし、それが配置されているディレクトリに作成します。コードを次のように入力します（バージョン番号はダウンロードしたバージョンに変更されます。ここでは3.10です）文件 sysmon_5133.xml 

<SYSMONのSchemaVersionを= " 3.10 " > 
  <！ -すべてのハッシュをキャプチャ- > 
  <HashAlgorithms> * 
</ HashAlgorithms> 
  <EventFiltering> 
<！ -ログを除くすべてのドライバーの場合、署名- > 
<！ -マイクロソフトが含まれていますか
Windows- > <DriverLoad onmatch = " exclude " > 
  <Signature condition = " contains " > microsoft </ Signature> 
  <Signature condition = " contains " > windows </ Signature> 
</ DriverLoad> 

<NetworkConnect onmatch = " exclude " >
  <画像状態=""で終わります" > chrome.exe.exe </ Image> 
</ NetworkConnect> 

<NetworkConnect onmatch = " include " >      
  <DestinationPort condition = " is " > 80 </ DestinationPort>       
  <DestinationPort condition = " is " > 443 </ DestinationPort> 
</ NetworkConnect> 

<FileCreateTime onmatch = " exclude " > 
      <Image condition = " end with " > chrome.exe </ Image>
</ FileCreateTime> 

<ProcessCreate onmatch = "exclude " > 
      <Image condition = " end with " > chrome.exe </ Image> 
</ ProcessCreate> 

<CreateRemoteThread onmatch = " include " > 
  <TargetImage condition = " end with " > explorer.exe </ TargetImage> 
  <TargetImage condition = " と終了" > SVCHOST.EXE </ TargetImage> 
  <TargetImage状態= " と終了" >のWinlogon.exe </ TargetImage> 
  <SourceImage状態= " と終了"> powershell.exe </ SourceImage> 
</ CreateRemoteThread> c 
  </ EventFiltering> 
</ Sysmon>

・sysmonが配置されているフォルダでコマンドsysmon.exe -i sysmon_5133.xmlを実行し、  [ 同意する ]をクリックしてインストールを完了します

 

・管理者として「事件查看器”パスとして」を実行します应用程序和服务日志→Microsoft→Windows→Sysmon→Operational”监控规则下的进程的日志文件、进程号、 路径等信息

 ・クリックしてたくさん開くと、すべてWindowsシステムプログラムであることがわかりました

 

3.マルウェア分析

・SysTracer 2.10分析ソフトウェアをダウンロードしてインストールします（インストールプロセスをスキップします）

・win10ファイアウォールをオフにして、実験と同じ2つの手順でkaliにバックドアファイルsy4.exeを生成します。

攻撃マシンmsfconsleを開き、監視を開き、レジストリ、ファイル、およびwin10の下のアプリケーションのスナップショットを作成して、次の名前で保存します。Snapshot #2

・プログラムsy4.exeがホストに埋め込まれたときにスナップショットを取得し、次の名前で保存しますSnapshot #1

win10でsy4を開き.exe、kali に接続し直して、win10でもう一度スナップショットを作成し、名前を付けて保存しますSnapshot #4

・ka10でwin10ターゲットマシンのスクリーンショットを撮り、win10でもう一度スナップショットを撮って、次の名前で保存しますSnapshot #3（因为之前没明白SysTracer怎么用的，所以序号被我自己改乱了）

 ・示されているように、生成された4つのスナップショット

 ・ディスカバリー・プロセス・シーケンスは、復帰のためにも、ApacheのHTTPサービス、外観を開くためのポイント、IP開き192.168.231.128確かカーリー、ポート番号を、学生の数は、5133

 

・スクリーンショット機能を利用しているので、ここは一目瞭然

 

 ・＃1＃2を比較すると、いくつかのレジストリ値が追加されていることがわかりました

 

 ・Wiresharkを使用してパケットを取得した後、3つのハンドシェイクプロトコルがあることがわかりました

 

 

 4.質問の回答

（1）職場のホストで悪意のあるコードが疑われるが、推測しただけの場合は、システムが毎日行っていることを監視したいだけです。監視したい操作と監視方法を設計してください。

答：初步可以查看任务计划程序中是否有可疑的进程，如果不确定，可以像这次实验一样，利用netstat实时对后台进行监控，也可以利用这次的实验工具，监控注册表文件以及是否调用了异常的dll库，但是现在的杀毒软件都很灵敏，大多数也都是可以查出来的。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

答：利用wireshark抓包分析是否有可疑的数据包，或者使用SYSTracer快照功能，在正在运行的文件中找到可疑文件查看其信息来判断是否有可疑行为。也可以利杀毒软件定向对这个程序进行扫描，或者放在专业网址上检测。

 

五、实践体会

　　这次的实验还是非常有用的，我们可以通过自己的手段去检查计算机的异常行为和恶意行为，也让我比较深刻的认识到了恶意代码的工作原理，对以后的自我防护有了专业性的理解。