2019-2020-2 20175232「ネットワーク対策技術」Exp4悪意のあるコード分析

1.実用的な目標

• 1は、疑わしいプログラムが実行されているかどうかを確認するために、自分のシステムの実行ステータスを監視することです。
• 2は、マルウェアを分析し、Exp2またはExp3で生成されたバックドアソフトウェアを分析することです。分析ツールは、ネイティブ命令またはsysinternals、systracerスイートを使用しようとします。
• 3今後の作業でホストに問題があると思われる場合、このアイデアを実験で使用して、まずシステム全体を監視して不審なオブジェクトが検出されるかどうかを確認し、次にさらに不審なオブジェクトを分析して特定の動作と性質を確認できます。

2.練習内容

1.システム稼働監視

• スケジュールされたタスクとして使用して、コンピューターがインターネットに接続されているプログラムと、接続されている外部IPの場所を毎分記録します。しばらく実行してファイルを分析し、分析結果を要約します。目標は、ネットワークに接続されたすべてのプログラム、それらが接続されている場所、およびそれらが行ったことを見つけることです（パケットをキャプチャしない場合にのみ推測できます）そうすることは適切だと思いますか？さらに分析する場合は、対象となるパケットをキャプチャできます。
• sysinternalsにsysmonツールをインストールして構成し、適切な構成ファイルを設定して、ホストの主要な問題の疑わしい動作を監視します。

2.マルウェア分析

• （1）バック接続を開始する
• （2）ターゲットマシンにインストール
• （3）その他の操作。バックドアソフトウェア
  • 読み取り、追加、削除されたレジストリキー
  • どのファイルが読み取られ、追加され、削除されたか
  • 接続されている外部IPと送信されるデータ（キャプチャ分析）

3.練習ステップ

タスク1システム稼働監視

（1）スケジュールされたタスクなどを使用して、コンピューター上にあるプログラム、および接続されている外部IPがどこにあるかを毎分記録します。しばらく実行してファイルを分析し、分析結果を要約します。

• schtasks手順を使用してスケジュールされたタスクを追加する
• 

• • 新しいschtasks5232.txt入力

  日付/ t >> c：\ netstat20175232.txt 
  時間/ t >> c：\ netstat20175232.txt 
  netstat -bn >> c：\ netstat20175232.txt

  • 保存して終了し、ファイル名schtasks5232.batを変更してC盘ディレクトリにコピーします

  • 3.スケジュールされたタスクを変更する

    • 最初に右クリックして開き、- 计算机管理> 任务计划程序上で作成したタスクを見つけます

    • 
    • 
    • 4.実行するタスクを右クリックすると、netstat5232.batディレクトリにnetstat5232.txtが表示され、それを開いて、毎分ここで失われるネットワークデータを確認できます
    • 

    • • この期間で最も使用されたのは、QQ、Battle.net、および仮想マシンであり、実際の状況と一致しています。ただし、アドウェアであってもバックグラウンドでアクティブに実行されていないソフトウェアプロセスや、ダウンロードおよびインストールされていないネットワークセキュリティコンポーネント、および注意が必要な影響を受けやすいシステムコンポーネントが多数あります。したがって、日常的に使用するバックグラウンドプロセスには積極的に注意を払う必要があります。背景の順序と信頼性を確保することで、自分の情報のセキュリティを確保できるだけでなく、システムの円滑な運用も確保できます。

（2）sysinternalsにsysmonツールをインストールして構成し、適切な構成ファイルを設定して、ホストの主要なものの疑わしい動作を監視します。

• 1.最初に、実験によって提供されたリンクに従って、構成ファイルsysmon20175232.xmlを記述します。コードは次のとおりです。

• <Sysmon schemaversion = "10.42">
    <！-すべてのハッシュをキャプチャ->
    <HashAlgorithms> * </ HashAlgorithms>
    <EventFiltering>
      <！-署名以外のすべてのドライバをログに記録->
      <！-MicrosoftまたはWindowsを含む->
      <ProcessCreate onmatch = "exclude">     
        <Image condition = "end with"> chrome.exe </ Image> 
      </ ProcessCreate>
  
      <FileCreateTime onmatch = "exclude">
        <Image condition = "end with"> chrome.exe </ Image>
      </ FileCreateTime>
      
      <NetworkConnect onmatch = "exclude">
        <Image condition = "end with"> chrome.exe </ Image>
        <SourcePort condition = "is"> 137 </ SourcePort>
        <SourceIp condition = "is"> 127.0.0.1 </ SourceIp>
      </ネットワークコネクト>
      <NetworkConnect onmatch = "include">     
        <DestinationPort condition = "is"> 80 </ DestinationPort>      
        <DestinationPort condition = "is"> 443 </ DestinationPort>    
      </ネットワークコネクト>
  
      <CreateRemoteThread onmatch = "include">
        <TargetImage condition = "end with"> explorer.exe </ TargetImage>
        <TargetImage condition = "end with"> svchost.exe </ TargetImage>
        <TargetImage condition = "end with"> winlogon.exe </ TargetImage>
        <SourceImage condition = "end with"> powershell.exe </ SourceImage>
      </ CreateRemoteThread>
    </ EventFiltering>
  </ Sysmon>
  

  　　ご使用のソフトウェアのバージョンに応じてヘッダーのバージョン番号を変更するように注意してください

• 管理者として実行CMDし、Sysmon64.exeディレクトリで実行しますSysmon64.exe -i sysmon20175232.xml
• 
• イベントビューアを起動してログを表示し、イベントビューアをクリックすると、設定ファイルの要件に従って記録された应用程序和服务日志-> Microsoft-> Windows-> Sysmon-> Operational新しいイベント、およびイベントID、タスクカテゴリなどを確認できます。
• 

   

• Sysmonを使用してイベントを分析すると、特定の時間、実行中のプログラム、使用されたプロトコル、ソースIP、宛先IPなどを確認できます。
• 

 

タスク2：マルウェア分析

 

• シェル検査にPEエクスプローラーを使用する
• 実験2および3でシェル化されたバックドアソフトウェアを分析する
• 
• 静的データディレクトリ、セクションヘッダー情報を表示する
• 
• 
• ファイルを逆コンパイルする
• 
• 上部メニューの赤い矢印をクリックして、dllライブラリを表示します
• 
• msvcrt.dllは、WindowsオペレーティングシステムでMicrosoftが提供するC言語の実行ファイル
  です
  。kernel32.dllは、システムのメモリ管理、データの入出力操作、および割り込み処理を制御するカーネルレベルのファイルである必要があります。advapi32.dllは、オブジェクトセキュリティ、レジストリ操作、イベントログに関連する機能を含む高レベルAPIアプリケーションインターフェイスサービスライブラリの一部。ウイルスの侵入や改ざんの対象となり、システムファイルの損失や損傷を引き起こします
  。Wsock32.dllはWindows Socketsアプリケーションです多くのインターネットアプリケーションやネットワークアプリケーションをサポートするために使用されるプログラムインターフェイスは、システムにとって重要または不審なファイルです。トロイの木馬ウイルス（「Beniu」ウイルスなど）による損傷を受けやすく、システムはこのファイルを見つけることができず、エラーメッセージボックスが表示されます。 。
  ws2_32.dllは、Windows Socketsアプリケーションプログラムインターフェイスです。一部のウイルスは、ウイルス対策ソフトウェアのディレクトリに疑似「ws2_32.dll」ファイルまたはフォルダーを作成します。ウイルス対策ソフトウェアの観点から、これはプログラムの実行に必要なファイルです。この「ファイル」にはシステム「ws2_32.dll」がありません「ファイルの機能。アンチウイルスソフトウェアなどが実行できなくなり、プロンプトが表示されます。アプリケーションは正常に初期化できませんでした

• B）動的分析ツール

  • 1.パケットキャプチャツール（wireshark）のアプリケーション

    • リンクをリバウンドしてディレクトリを取得するときにパケットをキャプチャする

    • 音が出るときのパケットキャプチャ
    • 
    • 現時点では、前回のバックドアの使用に関する関連情報を確認できます。
    • 

4番目に、基本的な質問に答えます

• （1）職場のホストで悪意のあるコードが疑われるが、推測しただけの場合は、システムが毎日行っていることを監視したいだけです。監視したい操作と監視方法を設計してください。
• A：多くの方法があります。悪意のあるコードは、実際の制御を維持するために同じポートを使用することが多いことがわかります。パケットキャプチャを使用して、複数のメッセージが同じIPアドレスの同じポートに送信されているかどうかを分析できます。この実験で使用されている他のメッセージも使用できます。ソフトウェアは、ホストでのプロセスサービスの使用状況を監視します。
• （2）プログラムまたはプロセスに問題があると判断した場合、それについてさらに情報を得るにはどのツールが必要ですか？最初にwireshackなどのツールを使用して、このプログラムに異常な接続があるかどうかを確認してから、systracerを使用して、プロセスの実行前後に疑わしいポート、レジストリ、または疑わしい変更があるかどうかを比較します。何かある場合は、PEID、ExeinfoPEなどの静的分析ツールを使用して確認します保護するシェルはありますか、それはウイルス対策ソフトウェアが見逃した悪意のあるコードですか？

V.実務経験

この方法は前の方法に比べて比較的単純ですが、インストールする必要があるソフトウェアがたくさんあります。この実験の重要性を認識し、この実験にも非常に興味があります。実際、他にも多くのソフトウェアを使用していますが、このテストは、コンピュータのセキュリティを保護するためのより良い方法を私に与えてくれ、私は多くの利益を得ました。