2019-2020-2ネットワーク対策Exp4悪意のあるコード分析
20175235 Zeren Lacuo
ディレクトリ
1.実験プロセス
-
1.システム稼働監視
-
2.マルウェア分析
-
動的分析
-
静的分析
-
1.1 netstatコマンドを使用したWindowsスケジュールタスクの結合
-
手順
-
コマンドを使用し
schtasks /create /TN 20175235netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"て、スケジュールされたタスク20175235 netstat を作成します
-
Cドライブにnetstatlog.batスクリプトファイルを作成します(最初にtxtテキストファイルを作成し、メモ帳を使用して書き込み、ファイル名を変更することでファイル形式を変更できます)。
次のように入力します。
date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt -
(コンピューター管理で)タスクスケジューラを開くと、新しく作成されたタスクを確認できます
-
このタスクをダブルクリックし、操作をクリックして編集し、「プログラムまたはスクリプト」を、作成したnetstatlog.batバッチファイルに変更します。確認できます
-
このスクリプトを一定期間実行すると、このマシンのネットワークレコードをこの期間のnetstatlog.txtファイルで確認できます
-
そろそろ時間だと思ったら、Excelを使って分析できます
-
Excel-> From Text-> Separatorでデータを開き、次のステップですべてのセパレーターをマークします。
-
統計チャートは次のとおりです。
-
統計データを分析します。
ランキング別:
[360DayPop.exe]:360ポップアップ広告
[wps.exe]:wps
[360Tray.exe]:360監視プログラム
[Explorer.EXE]:プログラムマネージャー
[HarmonySettingService.exe]:ウイルスの疑い
[iumsvc.exe]:明確ではない
[Lenovo.HarmonySetting.exe]:サービス
[SoftMgrLite.exe]:360アシスタント
[updateui.exe]:実行可能ファイル
[WeChat.exe]:WeChat
[vmware-authd.exe]仮想マシン関連のプロセス
[wpscenter.exe]:wpsホットスポット
-
-
バックグラウンドでアクティブに実行されていないソフトウェアプロセスは多数ありますが、アドウェアでさえ最大のプロセスであり、他にも自己起動プロセスがあり、ウイルスがあります。自身の情報のセキュリティを保証するだけでなく
、システムの円滑な運用も保証します。
-
1.2 sysmonを使用してシステムを監視する
-
sysmonをダウンロードしてインストールする
- 設定ファイル:
<Sysmon schemaversion="4.23">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">5310</DestinationPort>
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- イベントビューアを起動
してログを表示イベントビューアを起動して、アプリケーションおよびサービスログからログの特定の場所を検索/ Microsoft / Windows / Sysmon / Operational
2.1マルウェア
-
2.1静的分析
-
1. VirusTotalを使用してマルウェアを分析する
実験3では、パックされたバックドアプログラムが分析のためにvirusTotalに入れられました。SHA
-1、MD5サマリー値、ファイルタイプ、ファイルサイズ、TRiDファイルタイプ、パッキング状況、アルゴリズムライブラリサポート
-
2.シェル検査にPEIDを使用します。
インストール後、実験3のプログラムをドラッグすると、パックされたバージョンなどが表示されます。
-
3.逆コンパイルと逆アセンブル(PE Explorerツール)
PE Explorerは強力なビジュアルDelphi、C ++、VBプログラムパーサーであり、32ビットの実行可能プログラムをすばやく逆コンパイルしてリソースを変更できます。
PE Exploerを開いた後、バックドアプログラムzxy_20175227_backdoor.exeを開き、ファイルヘッダー情報を表示します。
-
-
2.2動的分析
-
KaliシステムとWindowsシステムのPingが成功した場合のキャプチャツールアプリケーション(wireshark)ICMPパッケージ
-
MSFバウンス接続中のTCPパケット
-
dirディスクのバックドアプログラムディレクトリにあるファイルを確認してください。ログは更新されません。
-
2.実験内容の説明と基本的な質問への回答
-
1.動作中のホストで悪意のあるコードが疑われる場合でも、システムの毎日の動作を監視したいだけです。監視したい操作と監視方法を設計してください。
-
Windowsを使用してタスクをスケジュールするschtasks:IPとポートを含むネットワーク接続を定期的にチェックし、統計分析を実行してIPが属していることと接続開始者の詳細を確認します
-
sysmonツールを使用します。表示するオプション(ネットワーク接続、レジストリ情報など)を構成し、生成されたログを表示して分析します。
-
PEiD、PE Exploerツールを使用します。プログラムがパックされているかどうかを確認し、逆アセンブルと逆コンパイルを行って、プログラムに不正な操作がないかどうかを確認して分析します。
-
Wiresharkツールを使用:データパケットをキャプチャし、データフローを分析します。
-
-
2.プログラムまたはプロセスに問題があると判断した場合、それについてさらに情報を得るにはどのツールが必要ですか。
-
Wiresharkを使用して、パケットキャプチャを分析し、ホストとの通信プロセスを監視します。
-
Process Explorerを使用して、呼び出されたライブラリなどを表示します。
-
PEidを使用して梱包状況を表示する
-
3.実験のまとめ
この実験は非常に操作可能で、後で自分で悪意のあるコードをチェックするために使用できます。この実験はまだ多くを獲得しました。