2019-2020-2 20175312 Tao Guangyuan "Network Countermeasure Technology" Exp4悪意のあるコード分析
1.実験的な内容
1.1、MSFエンコーダーの正しい使い方
1.実験の目的と内容
1.練習目標
疑わしいプログラムが実行されているかどうかを確認するには、独自のシステムの実行ステータスを監視します。
マルウェアを分析するには、Exp2またはExp3で生成されたバックドアソフトウェアを分析します。分析ツールはネイティブの命令またはsysinternalsを使用しようとします。systracerスイート
は、将来の作業でホストに問題があると見なし、実験でこのアイデアを使用できます。最初にシステム全体です。疑わしいオブジェクトが見つかるかどうかを監視し、疑わしいオブジェクトをさらに分析して、特定の動作と性質を確認します。
2.練習内容
2.1システム稼働監視
(1)スケジュールされたタスクなどを使用して、コンピューター上にあるプログラム、および接続されている外部IPがどこにあるかを毎分記録します。一定期間実行し、ファイルを分析して分析結果を要約します。
(2)sysinternalsにsysmonツールをインストールして構成し、適切な構成ファイルを設定して、ホストの不審な動作を監視します。
2.2(1)接続の開始、(2)ターゲットマシンへのインストール(3)およびその他の操作(プロセスの移行や画面キャプチャなど、重要なのは興味があること)のときにソフトウェアを分析します。
バックドアソフトウェア
は、どのレジストリエントリを
読み取り、追加、削除し、どのファイルが
接続され、どの外部IPが転送され、どのデータが転送されるかを読み取り、追加、削除します。
第二に、実用的な手順
1. schtasks命令を使用してシステムを監視します
1.1。コマンドschtasks / create / TN netstat5312 / sc MINUTE / MO 1 / TR "cmd / c netstat -bn> c:\ netstatlog.txt"を使用して、スケジュールされたタスクnestat5312を作成します
分析:
TNはTaskNameの省略形、作成したスケジュール済みタスクの名前はnetstat5312です。sc
はタイミングモードを示し、MINUTEは分単位で入力します
。TRはタスクの実行、実行するコマンドはnetstat
bn、bは実行可能ファイルの名前を示します。 nは、IPおよびポートを数値で表示することを意味します。
出力のリダイレクトを表し、出力をc:\ netstatlog.txtファイルに保存します
1.2。Cドライブにnetstat5312.batという名前のスクリプトファイルを作成し、次の内容を書き込みます。
日付/ t >> c:\ netstat5312.txt
時間/ t >> c:\ netstat5312.txt
netstat -bn >> c:\ netstat5312.txt
1.3。タスクスケジューラを開くと、この新しく作成されたタスクを確認できます。
1.4。このタスクをダブルクリックし、[アクション]-> [編集]をクリックして、プログラムまたはスクリプトを作成したnetstat5312.batファイルに変更し、[OK]をクリックします。
1.5。ユーザーがログインしているか、最高の権限で実行しているかに関係なく実行するには、[全般]列を確認します
1.6。次に、スクリプトが一定期間実行されるのを待ちます(この期間中、ネットワーク接続ステータスは維持される必要があります)、この期間のネットワークレコードをnetstat5312.txtファイルで確認できます
1.7。保存されたデータを照合のためにExcelシートにインポートする
1.8。照合データチャートは次のとおりです。
1.9。グラフから、最も接続されているプログラムは360ブラウザー、Tencent Classroom、wpsなどであり、不審なプログラムは検出されていません。
2. sysmonツールを使用してシステムを監視します#
2.1。SysinternalsスイートをダウンロードするSysmonは、ほとんどすべての重要な操作を監視できるスイート内のツールです。
2.2。監視対象を決定します。信頼できるプログラムのホワイトリストを設定します。
2.3。監視対象を明確にした後、対応する構成ファイルsysmon20175312.xmlをSysmonが配置されているディレクトリに次のように作成します。
各ラベルの概念:
Excludeはホワイトリストと同等であり、記録する必要はありません。includeはブラックリストと同等です。onmatchは一致を意味します。
ProcessCreateは、プロセスの作成
NetworkConnectがネットワーク接続であることを示し ます
CreateRemoteはリモートスレッドの作成です。ここの「include」を使用して、explorer.exe、svchost.exe、firefox.exe、winlogon.exe、およびpowershell.exeのリモートスレッドを選択します。これらのプログラムの詳細な意味について
は、Xuejie のブログを参照してください 。FileCreteTime is the process creation time
2.4。管理者としてcmdを開き、sysmonが配置されているフォルダーを入力して、Sysmon.exe -i sysmon20175312.xmlを入力します。
2.5。コンピュータの管理を開き、イベントビューアを表示します。アプリケーションとサービスのログ/ Microsoft / Windows / Sysmon / Operationalで、構成ファイルの要件に従って記録された新しいイベントと、イベントID、タスクカテゴリ、および詳細情報を確認できます。
2.6。最も古いログは、作成したsysmon20175312.xml構成ファイルを見つけることです
3.マルウェア分析
3.1。virustotal Webサイトを使用したマルウェアの分析
3.2。Process Explorerツール
その役割は、ファイルシステム、レジストリ、プロセス/スレッドのアクティビティをリアルタイムで表示することです。
ステップ1:プロセスを見つける
ステップ2:プロセスの特定の情報を表示する
3.3。Wriesharkパッチパッケージの分析
(1)実験2で生成されたバックドアプログラムを使用して、
kali 仮想マシンに接続します#(2)Wriesharkパッチ分析では、バックドア接続プロセス中に完全な3ウェイハンドシェイクが確立されていることがわかります。対応するipフィルターを設定した後、特定の各フィルターを観察できます。コマンド実行後の新しいパッケージ
3.4。Systracerによる分析
(1)最初にSystracerをダウンロードしてインストールする
(2)右側の[スナップショットを撮る]をクリックして、スナップショットを保存します。
スナップショット1(スナップショット#1):バックドアプログラムが移植されていない
スナップショット2(スナップショット#2):バックドアプログラムが埋め込まれている
スナップショット3(スナップショット#3):バックドアプログラムを実行し、Kaliでバックリンク
スナップショット4(スナップショット#4)を実装します。 webcam_snapコマンドを実行する
スナップショット5(スナップショット#5):監視をオフにする
以下に示すように、5つのスナップショットが完成しました
[未完成、午後のメイクアップ]
3.実験後に質問に答える
1.職場のホストで悪意のあるコードが疑われるが、推測するだけの場合は、システムが毎日何をしているかを監視する必要があります。監視したい操作と監視方法を設計してください。
A:Windowsタスクプランnetstatを使用してネットワーク接続を表示し、Process Explorerを使用してプロセスを監視し、wiresharkを使用してパケットをキャプチャし、データパケットを分析し、sysmonツールを使用して、監視するポート、レジストリ情報、ネットワーク接続およびその他の情報を構成し、生成します表示するログファイル
2.プログラムまたはプロセスに問題があると判断した場合、それについてさらに情報を得るにはどのツールが必要ですか。
回答:virustotal Webサイトはマルウェアの分析に使用されます。ProcessExplorerツールを使用して、関連するプロセスとスレッドのアクティビティを監視できます。systracerツールを使用して、関連する分析を実行し、レジストリとファイルへの変更を表示できます。
第4に、実験の概要
実験は比較的スムーズでした。最後にスナップショットを分析したときに問題が発生しただけです。バックドアプログラムは元々ホスト上にあり、以前に使用したことがあり、以前の実験で使用したバックドアプログラムをホストで使用しました。スナップショットを撮った時点では、バックドアプログラムを1つずつ削除せずに変更しているだけで、スナップショット1とスナップショット2に明らかな違いはありません。
この実験では、自分のシステムの実行状態を監視する方法とマルウェアの分析方法を学びました。多くのことを学びました。テストブログを書くのは面倒ですが、統合と改善にも非常に意味があります。