2019-2020-2 20175329 Xu Yuwei "Network Countermeasure Technology" Exp4が悪意のあるコードを分析する

one.ethicsと提案

1.提案：

• コンピュータの状態を監視し、疑わしいソフトウェアがあるかどうかを確認します
• sysinternalsまたはsystracerを使用して、exp2とexp3ですでに生成したバックドアを分析します。
• この条件を想定すると、有線で何かがコンピュータに起こると思います。コンピュータを分析するために学んだいくつかの方法を試してください。監視システムを使用して、不審なソフトウェアを見つけます。

2.コンテンツ：

• システム操作モニター
  1.ウェブサイトからIPをログに記録し、mission scheduleこれらのIPがどこから来ているかを確認します。
  2. sysmonを使用して、疑わしいイベントがあるかどうかを確認します。
• バックドアの分析
  1.tcp_reverse connect（ddlにフォーカス）
  2.ターゲットコンピュータにインストール（ファイルにフォーカス）
  3.その他の操作

---

2：実験の詳細

1. schtaskコマンドを使用して監視する

• schtasks /create /TN netstat5329 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"生成するコマンド
  
  TNはTASKNAMEの略
  scで、時間を測定する方法を意味します。MINUTEを単位として使用します。
  b実行可能ファイルの名前を示します。tpyeに必要な
  nポート
  trコマンドを表示できます。
  >入力するファイルパス。

• Cドライブディレクトリに、txtファイルを作成し、
  date /t >> c:\netstat5329.txt time /t >> c:\netstat5329.txt netstat -bn >> c:\netstat5329.txt
  ファイルの接尾辞を「から」txtに変更しますbat

• Task Scheduler編集するために開く
  

• 作成したバットへのパスを上書きします。
  

• ルートこの小屋
  
  は素敵なブログを参照しています。データをインポートしてエクセルする方法を知っています。
  

• ええ、エクセルを使用して日付を並べ替えてグラフを作成した後、ネットログを確認できます。
  

• 明らかに。上部はFirefoxです。私はFirefoxをChromeよりはるかに速いと思います。クロムが奇妙にWebに接続できないことがある理由を理解できません。また、仮想マシンへの仮想マシンを見ることができます。

• Thunderを使用してファイルをダウンロードします。

2.使用sysmonして監視します。

1.download Sysinternalsのユーティリティ、sysmonSysinternalsのユーティリティでただ一つのソフトウェアです。
2.ターゲットを選択します。信頼できるログをフリットして、記録を減らします。
3. sysmon20175329のディレクトリで構成するsysmon

<Sysmon schemaversion="10.42">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include">
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">
      <DestinationPort condition="is">80</DestinationPort>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 選択sysmonx64してプロパティをチェックします
  
• Sysmon64 -i sysmon20175329.xml 実行してインストールする
  
• computer manager新しいイベントPIDなどを確認するために開きます。
  

3.悪意のあるコードを分析する

• シェルを取得するために行ったexp2を繰り返します。
  
• ここでは、Systracerというツールを使用する必要があります。
  
• スナップショットを取る：カリからの動的な動きを分析できます。
• dope！フルスキャン後、リストをチェックしてバックドアを見つけます。
  
• 悪意のあるアプリをコンピューターに挿入した後に何が起こっているのかを比較する必要があるだけです。
  
• リクエストに応じて。動作の違いを確認してくださいcmd。コマンドを使用するときにここで見つけます。
  
• ご覧のとおり、i.windows 10.でcmdターミナルを開かないでください。しかし、shellを取得するためにlinuxでハッキングするので、違いは明らかです。以前に行ったことのない奇妙な操作を見つけたが、モニターにこれらの操作が個人情報を取得していることが表示された場合。彼らはcmdあなたのコンピュータのパスワードなどを変更するためにコマンドを使用するように...あなたのコンピュータは間違いなくハッキングされています！
• 
  
  ここで登録を確認してください。payload.exeは、私が注入したバックドアです。変更のみを確認できますが、SysTracerが登録されていないため、調査できません。また、変更全体がバイナリで表示されます。ハッカーが何をしたかを確認するためにコンパイルするツールが必要です。
  私はそれがバックドアについてであるかどうかわかりません。so goole inf for detail
  
  
  私はそれを実現するためにドライブを編集する必要があるため、バックドアが自動起動する方法を使用していると思います。
  私の仲間のブログをチェックすると、彼らはいくつかのddlについて書いた。私はこれらのddlを見つけることができないこれらの考えをリストします。
• msvcrt.dll：MicrosoftがWindowsオペレーティングシステムで提供するC言語ランタイム実行可能ファイル
• kernel32.dll：カーネルレベルのファイルに属し、システムのメモリ管理、データの入出力操作、および割り込み処理を制御し、必要です。
• advapi32.dll：高レベルのAPIアプリケーションインターフェイスサービスライブラリの一部。オブジェクトのセキュリティ、レジストリ操作、イベントログに関連する機能が含まれており、ウイルスの侵入や改ざんの影響を受け、システムファイルの損失や損傷を引き起こします
• wsock32.dll：多くのインターネットおよびネットワークアプリケーションをサポートするために使用されるWindows Socketsアプリケーションプログラムインターフェイスは、システムにとって非常に重要または疑わしいファイルです。
• ws2_32.dll：Windows Socketsアプリケーションプログラムインターフェイス。一部のウイルスは、ウイルス対策ソフトウェアディレクトリに疑似 "ws2_32.dll"ファイルまたはフォルダーを作成します。ウイルス対策ソフトの観点からは、プログラムの運用に必要なファイルと呼ばれています。このいわゆる「ファイル」にはシステム「ws2_32.dll」がないため、ウイルス対策ソフトウェアなどが実行されず、プロンプトが表示されます。アプリケーションは正常に初期化できませんでした。

4.wireshark

• イーサネットでパッケージをキャプチャできず、VMからの攻撃をすでに知っているため、VMwareネットワークアダプターVMnet8からキャプチャするだけです。
  
• したがって、ここに表示されるパッケージは、kaliからゲートウェイまでのものです。tcpプロトコルを介して、ここで3ウェイハンドシェイクを確認できます。
  
• 詳細を調べてください。
  
  カリがターゲットに接続するとき。すべての操作はtcpプロトコルによって変換されます。それらはすべて識別としてackを使用します。
  

---

最後になりましたが、

質疑応答

Q：systracerを使用してbackdoor.itsを追跡してこれらを表示しようとすると、

A：このアプリケーションを再起動するだけです。

Q：職場のホストで悪意のあるコードが疑われる場合でも、システムの毎日の動作を監視したいだけです。監視したい操作と監視方法を設計してください。
A：

• プロセスの監視：プロセスエクスプローラーを使用する
• ネットワーク接続を表示します。Windowsタスクプランnetstatを使用します。
• データパケットの表示：Wiresharkを使用してパケットをキャプチャし、データフローを分析する
• ポートの表示：nmapを使用して不審なポートを表示します
• 最後に、sysmonツールを使用して、監視するポート、レジストリ情報、ネットワーク接続、およびその他の情報を構成し、生成されたログファイルを使用して表示することもできます。

Q：プログラムまたはプロセスに問題があると判断した場合、それについてさらに情報を得るにはどのツールが必要ですか？
A：

• コマンドtasklistを使用してプログラムのプロセス番号を表示します
• SysTracerを使用して、休憩時間にスナップショットを取得し、キャプチャされたスナップショットを比較および分析し、ファイル、レジストリ、アプリケーションなどの違いを分析します。
• PEiDを使用したシェル検査
• PEエクスプローラーを使用して、PEファイルヘッダーに含まれるコード情報を表示する
• プロセスモニターを使用してプログラムを分析します。プロセスモニターはFilemon + Regmonと同等です。Filemonはシステム内のファイル操作プロセスを監視するために使用され、Regmonはレジストリの読み取りおよび書き込み操作プロセスを監視するために使用されます。

---

注意

この実験の終わりまでに。私はこの実験から学んだいくつかのメモを共有したいだけです。このexpを自分で完了すると、ハッカーはコンピューターを静かにハッキングできないことがわかっています。すべてがコンピューターによって記録されます。追跡するためにツールを使用する方法を知っている必要があります。 hacker。たぶん次回、私がハッキングされたときに、この方法を使用してハッカーを見つけることができます！
その間、問題はありませんが、興味のためだけに英語でこのブログを書いてみてください。読みやすくするために、このプラグイン达达划词翻译を強くお勧めします。
クロムでダウンロードしてください。

助けを借りて私のブログを読むのがはるかに簡単です！