是监控你自己系统的运行状态,看有没有可疑的程序在运行。
是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
date /t >> C:\exp4\netstatlog.txt time /t >> C:\exp4\netstatlog.txt netstat -bn >> C:\exp4\netstatlog.txt
schtasks /create /TN netcontrol1310 /sc MINUTE /MO 1 /TR "C:\exp4\20191310netcontrol.bat"
指令分析:
设置选项:
新建excel文件->选择上方“数据”->选择“获取外部数据”->选择“自文本”
选中“分隔符号”,点击“下一步”
选中全部分隔符号,点击“下一步”
列数据格式选择常规,点击“完成”
首先查看所有联网程序的联网次数,具体excel操作如下
选中分析数据
选中分析结果所在表
遴选数据标签,选中轴和值
生成分析表格:
分析结果:
在此项中,“nvcontroller”是方式最多的,这里基本上每次连接都会涉及,排名第二的是“NVDIA”。这里我们还可以找到微信、虚拟机、onedirve等进程信息。
新建一个配置文件,我这里命名为1310sysmon
<Sysmon schemaversion="4.81"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> </ProcessCreate> <FileCreateTime onmatch="exclude" > <Image condition="end with">chrome.exe</Image> </FileCreateTime> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
输入
.\Sysmon.exe -i .\1310sysmon.txt
已经正常回连
桌面“这台电脑”图标,右键菜单中,点击打开“管理”,点击左侧“系统工具”->“事件查看器”,点击“事件查看器”右侧小箭头,选择日志的位置:应用程序和服务日志/Microsoft/Windows/Sysmon/Operational。
查看sysmon
出现了SearchFilterHost.exe、conhost.exe等系统执行exe,但是后门的通信没有具体展示,应该是在conhonst中隐藏了。
每进行一次攻击,不管成功与否(可能不成功)我们就发现了都有这样的svhost
Svchost.exe是微软视窗操作系统里的一个系统进程,管理通过Dll文件启动服务的其它进程,一些病毒木马伪装成系统dll文件通过Svchost调用它,试图隐藏自己。每个svchost可以同时调用多个dll文件,启动多个服务。
说明这里是采用了微软视窗里的这个系统进程进行的攻击。
当然也有直接显示的:
这里便是利用sysmon的分析简要过程,还可以利用sysmon得到的信息检索更有效的分析结果!
分析该软件在
(1)启动回连
(2)安装到目标机
(3)其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)
该后门软件
(3)读取、添加、删除了哪些注册表项
(4)读取、添加、删除了哪些文件
(5)连接了哪些外部IP,传输了什么数据
安装大版,选择2
设置端口,我设置成我实验二和三常用的端口
在后门没开启之前先快照一下。点击“take snapshot”,如图,按照以下步骤进行:
完成
Kali打开msfconsole,完成相关设置后开始监听,Windows运行后门后,拍摄快照:
新的快照完成
所有蓝色标注的地方,就是前后发生变化的地方。例如,我发现后门启动后,对我的"Local Settings"->"Software"中的文件进行了修改
同时:
hkey_local_machine根键的System子键进行了修改。
这里关于HKEY_LOCAL_MACHINE的介绍:
同样,这里只要kali机进行了攻击指令,那么一定会有快照的变化,我们利用这种方法,可以初步进行对比前后的时间分析!
过滤规则设置为 ip.addr == 192.168.40.128
,这里我只想查看和虚拟机IP有关的数据包,所以把没用的包过滤掉:
在这里已经发现了和自己主机(被攻击的通道)
第一条是kali向win发送的[PSH,ACK]包
第二条便是回复确认包
分析中必定能找到握手包,且包携带有数据
这回PSH+ACK的包好像多了些,估计多出来的便是我们这些攻击手段衍生的数据包。
根据PE文件的完整性以及相关特征来进行分析,本程序使用了ADVAPI32.dll
、KERNEL32.dll
、MSVCRT.dll
、WS2_32.dll
、WSOCK32.dll
链接库,其中WS2_32.dll
、WSOCK32.dll
是比较熟悉的win上面编写SOCKET用的,这是用来回连使用的,而ADVAPI32.dll
是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关,从这句解释就可以看出,本后门程序的潜在的威胁,KERNEL32.dll
是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。而MSVCRT.dll
是微软在windows操作系统中提供的C语言运行库执行文件(Microsoft Visual C Runtime Library),其中提供了printf,malloc,strcpy等C语言库函数的具体运行实现,并且为使用C/C++(Vc)编译的程序提供了初始化(如获取命令行参数)以及退出等功能。
故此种分析也是可以的!
单步调试:
可查看入口地址,堆栈情况
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
我会看他修改了哪些注册表、创建了哪些进程、占用了哪些端口、修改、查看了哪些文件等等,利用上面实验所使用的文件或者程序,比如说快照技术的对比,还比如说可以定时让主机执行netstat然后分析,去编写一些脚本文件,当然也可以利用Sysmon,编写配置文件,记录与自己关心的事件有关的系统日志,然后采用可视化方法读取并且导入分析!
为实现网络监控,我可以采用这些工具:Fport,lsof,TDImon,ifconfig,tcpdump
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
可以利用IDAPro,gdb,SoftICE,systrace,ollydbg进行单步调试
可以利用Wireshark等网络工具查看是否存在可疑连接
可以利用工具Systracer拍摄快照,比对前后区别,分析改变的注册表及文件等信息
当然为了安全,可以利用NormanSandbox,CWSandbox,FVMSandbox等工具
在本次实验中,在周期性任务那里我学会了命令行的操控方法,学会了把命令行下的结果记录到文件中、利用.bat文件显示时间、以及按照学姐学长们的方法利用excel分析数据、当然可以利用别的工具如python,但是我环境坏掉了,就不行了。我还学会了如何利用Sysmon监控自己的事件、如何写配置文件、如何分析日志中的大量信息、如何对恶意代码进行进一步分析。
通过这样的一个动手实践,实现了从攻击者身份到检测、分析者身份的转变,更全面的理解了前两次实验中生成的后门程序到底在做什么,对恶意代码有了更深入的理解。
同时这次的实验是让我们通过个这种各样的工具或者软件去更好的了解自己的电脑在做着什么,这次实验下载了一些工具,颇有感觉!
网络对抗,异常重要,信息安全,任重道远!