2017-2018 Exp4 恶意代码分析 20155214曾士轩

Exp4 恶意代码分析

• 本次实验操使用Windows下的schtasks，sysmon，Process Explorer作为测试工具。

• 确定是某个程序或进程有问题，
  
  使用Wireshark进行抓包分析，查看该程序联网时进行了哪些操作；
  
  使用systracer工具分析某个程序执行前后，计算机注册表、文件、端口的一些变化情况。

---

目录

• Exp4 恶意代码分析
  • 实验内容
    • 使用schtasks指令监控系统运行
      • 配置Microsoft日志工具Sysmon监控系统
      • 监视恶意代码测试
    • 主要思路
  • 知识点
    • Sysmon 配置文件简版
  • 启发

实验内容

实验环境 Windows 10 64bit

实验工具schtasks，sysmon，netstat,systracer

---

使用schtasks指令监控系统运行

先在C盘目录下建立一个NetstatLog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中。

//netstatlog.bat内容
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 利用DOS界面命令
  
  schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\NetstatLog.bat"
  即可生成定时任务，不过运行时需要利用管理员权限。

• 也可以利用 任务计划程序，创建一个任务，通过新建 操作 调用bat脚本。
  
  在创建任务时，需要勾选 以最高权限运行

• 充分发酵后转换为EXCEL，删除重复项，对IP进行升序排列后，即可获得本机上的各种连接。

• 之后利用WHOIS对这些IP地址进行分析。

结果经过了24小时，我的小新连上了全国各地的IP，有点懵。

配置Microsoft日志工具Sysmon监控系统

netstat 属于比较基本的系统工具，除此之外我们还可以利用一些完善的系统监控软件。

Sysmon 是微软 Sysinternals 套件中的一个工具，可以从微软官网里进行下载。

• 要使用sysmon工具先要配置文件config,语法为xml格式
• 标签使用在官网中有Sysmon使用说明

本次实验我们主要学习Sysmon的前三种基本标签用法，即

1.ProcessCreate

2.FileCreateTime

3.NetworkConnect

• 贴一下自己的简版配置文件作为分析(知识点中)

之后利用DOS命令，即可更新Sysmon配置

Sysmon -c c:\SysmonConfig.txt

监视恶意代码测试

接下来,我们利用上次实验制作的免杀病毒回连，测试各个分析软件的效果

在使用exploit回连后，我使用了三个命令，分别是:dir,ps,screenshot

• netstat
  
  作为最基本的工具，netstat在管理员权限下能检测到主机与异常IP的连接，但也仅限于显示连接状态,无法深入分析。
  
  

• Sysmon
  
  作为微软的系统日志监控软件，功能很强大，但信息量也同时非常繁杂。在茫茫的日志中寻找恶意代码确实不易。

再利用meterpreter回连前后，我打开了Sysmon检测系统状态，但却没找到关于后门shellcode_v2.exe的相关信息。

这时我在日志中发现了一条很奇怪的信息。

明明是kali利用后门实现screenshot,但Explorer.EXE确调用了一条Micorsoft.Windows.Photos的命令。

并且权限为0x2000，基本上是全权，很可疑。

以此为基础又找到了Explorer.EXE调用SystemSetting的命令。

最终找到了一条，TargetImage为vmware.exe。即猜测Kali通过Explorer这个程序实现了连接和以上命令。

• SysTracer

我分别在回连前，连接成功后，调用dir,ps,screenshot三个命令时，建立了系统快照，以下进行分析。

生成快照后，点击Only differences,即可判断后台修改的信息。

可见连接后相较正常快照，更改了shell的相关注册表。

在执行dir命令后，相较于连接时，增加了windows命令处理器注册表的修改。

同时后门程序对于Explorer的修改，验证了Sysmon检测时的猜想！

比较实现screenshot和ps的快照，可以分析，后台程序修改了VitualDestop注册表，从而能够获得截图。

经过以上分析，对于木马程序连接后执行命令的流程有了一个大致的思路。

主要思路

Tip:

本次实验，主机通过利用系统监控工具，达到获取自身连接信息，监控恶意代码执行的目的。

---

知识点

Sysmon 配置文件简版

 <Sysmon schemaversion="4.00">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>

  <EventFiltering>
<!-- Log all drivers except if the signature -->

<!-- contains Microsoft or Windows 以下签名驱动加载时不记录-->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<ProcessCreate onmatch="exclude" 以下程序镜像加载时不记录>
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
</ProcessCreate>

<!-- incontains chrome or iexplorer 以下文件镜像创建时不记录-->
<FileCreateTime onmatch="exclude" >
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
</FileCreateTime>

<!-- incontains access 0x1400 以下权限被进程执行时不记录-->
<ProcessAccess onmatch="exclude">
  <GrantedAccess condition="is">0x1400</GrantedAccess>
</ProcessAccess>

<!-- incontains port 137 以下端口连接时不记录-->
<NetworkConnect onmatch="exclude">
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<!-- contains port 443 or 80 特别关心端口443和80-->
<NetworkConnect onmatch="include">
  <DestinationPort condition="is">443</DestinationPort>
  <DestinationPort condition="is">80</DestinationPort>
</NetworkConnect>

<!-- contains RemoteThread explorer,svchost,winlogon,powershell 特别关心以下远程进程创建-->
<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>

  </EventFiltering>

</Sysmon>

---

启发

本次实验给我的启发是，我们的主机每天都在进行着成千上万的连接，如果不对其进行了解分析，就完全不知道他在24小时内到底经历了什么 (囧oz……