2019-2020-2 20175215 Ding Wentao「ネットワーク対策テクノロジー」Exp4悪意のあるコード分析

その他 2020-04-19 00:02:33 訪問数: null

1.実用的な目標と内容の概要

1.練習目標

  • 疑わしいプログラムが実行されているかどうかを確認するために、独自のシステムの実行ステータスを監視します。
  • マルウェアを分析するには、Exp2またはExp3で生成されたバックドアソフトウェアを分析します。分析ツールは、ネイティブ命令またはsysinternals、systracerスイートをできるだけ使用します。
  • ホストに今後の作業で問題があると思われる場合、このアイデアを実験で使用し、まずシステム全体を監視して不審なオブジェクトが検出されるかどうかを確認し、次にさらに不審なオブジェクトを分析して特定の動作と性質を確認できます。

2.練習内容

  • 2.1システム稼働監視

    • (1)スケジュールされたタスクなどを使用して、コンピューター上にあるプログラム、および接続されている外部IPがどこにあるかを毎分記録します。しばらく実行してファイルを分析し、分析結果を要約します。目標は、ネットワークに接続されたすべてのプログラム、それらが接続されている場所、およびそれらが行ったことを見つけることです(パケットをキャプチャしない場合にのみ推測できます)そうすることは適切だと思いますか?さらに分析する場合は、対象となるパケットをキャプチャできます。
    • (2)sysinternalsにsysmonツールをインストールして構成し、適切な構成ファイルを設定して、ホストのメインホストの疑わしい動作を監視します。
    • リファレンス:schtaskおよびsysmonアプリケーションガイド

  • 2.2マルウェア分析:(1)接続の開始、(2)ターゲットマシンへのインストール(3)およびその他の任意の操作(プロセスの移行や画面キャプチャなど)のときにソフトウェアを分析します。バックドアソフトウェア

    • 読み取り、追加、削除されたレジストリキー
    • どのファイルが読み取られ、追加され、削除されたか
    • 接続されている外部IPと送信されるデータ(キャプチャ分析)

2.練習内容

1.システム稼働監視

1.1 schtasksコマンド監視システムを使用する

  • schtasks /create /TN schtasks5215 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"コマンドを使用してスケジュールされたタスクを作成するschtasks5215
    • TNTaskNameの省略形ですschtasks5215作成されるスケジュール済みタスクの名前はです。
    • scタイミングモードを意味し、分単位で入力する必要がありMINUTEます。
    • TR=Task Run、実行するコマンドはnetstat
    • bnb実行可能ファイル名nが表示されることを示し、IPおよびポートが数字で表示されることを示します。
    • >出力のリダイレクトを表し、出力をc:\netstatlog.txtファイルに保存します
  • 作成しnetstat5215.txtたファイルを、次のように書き込み、
date /t >> c:\netstat5215.txt 
time /t >> c:\netstat5215.txt 
netstat -bn >> c:\netstat5215.txt

次に、.txtサフィックス名を.bat

  • タスクスケジューラを開くと、この新しく作成されたタスクを確認できます。
  • このタスクをダブルクリックし、[操作と編集]をクリックしてから、タブの編集を操作してプログラムを開始し、プログラムまたはスクリプトcmdnetstat5303.bat
  • 他の属性を自分で変更する
  • タスクを実行してschtasks5215、バックグラウンドデータの記録開始し、コンピューターを通常の使用状態に保ちます。約2時間後、Cドライブディレクトリを開いnetstat20175215.txtてデータ表示します
  • Excelで整理
    • 統計は次のとおりです。
    • 統計チャートは次のとおりです。
  • 分析
    • 一般的な申請プロセス
      • QQBrowser.exe:QQブラウザープロセス
      • qmbrowser.exe:QQブラウザーの子プロセス
      • javaw.exe:Sun Microsystemsに関連するネットワークプロトコルソフトウェア。通常Internet Explorerに基づいて動作します。
      • TIM.exe:QQ Office Editionのプロセス
      • BaiduNetdiskHost.exe:Baiduネットワークディスクサービスプロセス
      • wps.exe:wpsファイルのプロセス。
    • その他のプロセス
      • AppleMoblieDeviceService.exe、vmware-hosted、QQMusic.exe等

1.2 sysmonツールを使用してシステムを監視する

  • sysmonはMicrosoft Sysinternalsスイートのツールです。sysmonツールを使用する前に、まずファイルを構成する必要があります。軽量ツールSysmonを使用してシステムを監視し、構成ファイルを作成する方法については、この記事を参照してくださいsysmon20175215.xml
  • 選択可能なイベントフィルターは、ProcessCreateプロセスの作成、FileCreateTimeプロセスの作成時間、NetworkConnectネットワークリンク、ProcessTerminaプロセスの終了、DriverLoadドライバーのロード、ImageLoadイメージのロード、CreateRemoteThリモートスレッドの作成、RawAccessReadドライバーの読み取り、ProcessAccessプロセスアクセス、FileCreateファイルの作成、 RegistryEventレジストリイベント、FileCreateStreファイルストリームの作成など。
  • 作成された構成ファイルsysmon20175215.xmlの内容はコードクラウドリンクです
  • sysmon:をインストールsysmon.exe -i C:\Users\Administrator\Sysmon\sysmon20175215.xmlします。インストールが成功すると、次のようになります。

  • 「イベントビューア」を確認し、ログの場所を選択し应用程序和服务日志/Microsoft/Windows/Sysmon/Operationalます。構成ファイルの要件、およびイベントID、タスクカテゴリ、詳細情報などに従って記録された新しいイベントがあります。
  • この構成ファイルによって記録された最初のログが開かれますC:\Users\Administrator\Sysmon\sysmon20175215.xml配置文件
  • そして背後にあるコンテンツ
  • シェル、getuid、その他のコマンドを実行した後、C:\ Windows \ SysWOW64 \ cmd.exeプログラムが以前に表示されていないことがわかりました。 cmd.exeは64ビットです。

2.マルウェア分析

  • 静的分析

    • ファイルスキャン(VirusTotal、VirusScanツールなど)
    • ファイル形式の認識(peid、ファイル、FileAnalyzerツールなど)
    • 文字列抽出(文字列ツールなど)
    • 分解(GDB、IDAPro、VCツールなど)
    • 逆コンパイル(REC、DCC、JADツールなど)
    • 論理構造分析(Ollydbg、IDAProツールなど)
    • パックとアンパック(UPX、VMUnPackerツールなど)

  • (1)VirusTotalを使用してマルウェアを分析する

    • 生成された悪意のあるコードを分析のためVirusTotalに配置します。基本的な状況は次のとおりです。
    • 基本情報:SHA-1、MD5ダイジェスト値、ファイルタイプ、ファイルサイズ、およびTRiDファイルタイプの認識結果を確認できます。
    • そして、悪意のあるコードのアルゴリズムライブラリサポート:

  • (2)PEiDを使用してマルウェアを分析する
    PEiD(PE Identifier)はよく知られているシェルチェックツールであり、その強力な機能はほとんどすべてのシェルを検出でき、その数は470種類を超えるPEファイルのパッキングタイプとシグネチャを超えています。

    • シェルなしでバックドアを検出する
    • UPXパッキングのバックドアプログラムを検出する
    • Hyperionパッキングのバックドア手順の検出
    • 検出はほとんど正常ですが、Hyperion暗号化シェルが見つかりません

  • (3)Wiresharkを使用してパケットをキャプチャし、マルウェアを分析する

    • Wiresharkフィルターにフィルター条件を入力してip.addr == 192.168.30.135、関連するプロトコルパケット情報表示します
    • KingシステムとWindowsシステムが一緒にpingするときのICMPパッケージ
    • MSFバウンス接続中のTCPパケット
    • getuidを使用してサーバーを実行しているユーザーを表示すると、SearchUIが起動します。

SP1。実験後の質問の回答と経験

1.実験後の質問回答

  • (1)職場のホストで悪意のあるコードが疑われるが、推測しただけの場合は、システムが毎日行っていることを監視したいだけです。監視したい操作と監視方法を設計してください。
    • Windowsに付属のschtasksコマンドを使用して、スケジュールされたタスクを設定し、ネットワーク接続が異常であることを確認します
    • Sysmonおよびその他のプログラムを使用して構成ファイルを書き込み、関連するシステムログを記録する
    • プロセスエクスプローラー、プロセスモニター、およびその他のツールを使用して、プロセスアクティビティを監視します。
  • (2)プログラムまたはプロセスに問題があると判断した場合、それについてさらに情報を得るにはどのツールが必要ですか?
    • systracerツールを使用してマルウェアを分析し、レジストリとファイルへの変更を表示します。
    • Wiresharkを使用して、パケットキャプチャを分析し、ホストとの通信プロセスを監視します。
    • Process ExplorerツールまたはProcess Monitorツールを使用して、ファイルシステム、レジストリ、プロセス/スレッドのアクティビティを監視します。

2.実験経験

この実験は比較的単純です。コンテンツは主にコンピューターを監視し、潜在的な悪意のあるコードを見つけることで、この実験の保護と監視に焦点を当てています。さまざまなツールを使用してシステムをテストします。しかし、私はいくつかのバックドアプログラムの使用について少し錆びていますが、この知識を使用して適用する必要があります。

SP2。リファレンス

1. schtaskおよびsysmonのアプリケーションガイダンス
2. 2018-2019-2ネットワーク対策テクノロジー20165318 Exp4悪意のあるコードの分析
3. 悪意のあるコードの分析

おすすめ

転載: www.cnblogs.com/jxxydwt1999/p/12635033.html
おすすめ
ランキング
Oracleのクエリ重複フィールド
An error occurred when ssm used count to query data
【Leyes de la Naturaleza】La sabiduría de las multitudes
JavaWebの研究では、(13)を締結 - セッションの使用は、重複送信フォームを防ぎます
Firebase増加サインアップクォータ
[MyBatisフレームワーク]mybatis入門
ハートレスの世界
Djangoのインストールと使用について
[转] UiPath展開アーキテクチャ
mybatis-plusは楽観的なロック変更を使用します
アーカイブ
もっと
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)

コードワールド

© 2018 codetd.com