# 20192418張曦 2021-2022-2 《網路與系統攻防技術》實驗四實驗報告
20192418張曦 2021-2022-2 《網路與系統攻防技術》實驗四實驗報告
1.實驗內容
一、惡意程式碼檔案型別標識、脫殼與字串提取
對提供的rada惡意程式碼樣本,進行檔案型別識別,脫殼與字串提取,以獲得rada惡意程式碼的編寫作者,具體操作如下:
(1)使用檔案格式和型別識別工具,給出rada惡意程式碼樣本的檔案格式、執行平臺和加殼工具;
(2)使用超級巡警脫殼機等脫殼軟體,對rada惡意程式碼樣本進行脫殼處理;
(3)使用字串提取工具,對脫殼後的rada惡意程式碼樣本進行分析,從中發現rada惡意程式碼的編寫作者是誰?
二、使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe,尋找特定輸入,使其能夠輸出成功資訊。
三、分析一個自制惡意程式碼樣本rada,並撰寫報告。
四、取證分析實踐
Windows 2000系統被攻破並加入殭屍網路
2.實驗過程
任務一:惡意程式碼檔案型別標識、脫殼與字串提取
kali系統中file指令檢視檔案型別
PEiD檢視
使用超級巡警脫殼
strings指令檢視RaDa.exe的字串:
脫殼前全是亂碼
strings指令檢視脫殼後的RaDa_unpacked.exe的字串:
脫殼後可以看到一些資訊
在脫殼後的檔案中找到作者資訊:
任務二:使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe,尋找特定輸入,使其能夠輸出成功資訊。
-
crackme1
file指令檢視檔案的檔案型別
隨機輸入指令,可以看到一些輸出:
用IDA pro工具開啟creakme1檔案,點出函式呼叫圖:
檢視主函式的彙編程式碼,可以發現一行“I know the secret”
在cmd中執行該指令:
函式通過繼續執行
-
crackme2
該檔案分析過程與crackme1.exe相似,檢視其函式呼叫圖:
可以看到有三次判斷,第一次判斷引數個數和2的關係,jz是條件轉移指令,相等則跳轉。第二、三次判斷均是用strcmp進行字串比較,Str1是以eax暫存器裡存的值作為地址的單元裡的值,可以看到兩次eax值相差4,作為地址指向的單元分別為程式名和第一個引數,Str2分別是"crackmeplease.exe"和"I know the secret"。
此時需要建立crackmeplease檔案,再輸入"I know the secret"指令
任務三:分析一個自制惡意程式碼樣本rada,並撰寫報告,回答以下問題
(1)提供對這個二進位制檔案的摘要,包括可以幫助識別同一樣本的基本資訊;
生成md5摘要
開啟wireshark和process explorer監聽,執行RaDa.exe,在process explorer的Strings視窗可以看到惡意程式碼對程序所做的修改等資訊。
首先看到惡意程式碼與10.10.10.10連線,訪問了/RaDa/RaDa_commands.html,下載並更新cgi-bin,修改登錄檔自啟動項修改了登錄檔自啟動項HKLM\Software\Microsoft\Windows\CurrentVersion\Run,在C盤新建了資料夾RaDa,還有一句Starting DDos Smurf remote a attack,猜測為DDos攻擊,還有讀寫和刪除操作。
這裡還能再看到一次作者的名字:
(2)找出並解釋這個二進位制檔案的目的;
建立連線10.10.10.10的後門,使用者開啟web後就會讓攻擊者獲得主機的控制權。
(3)識別並說明這個二進位制檔案所具有的不同特性;
自我複製到C盤下,修改登錄檔自啟動項。
(4)識別並解釋這個二進位制檔案中所採用的防止被分析或逆向工程的技術;
使用了加殼工具。
(5)對這個惡意程式碼樣本進行分類(病毒、蠕蟲等),並給出你的理由;
不能自主傳播,不是病毒、蠕蟲;
沒有進行偽裝,不是木馬;
攻擊者可以遠端傳送指令,所以大概率是後門程式。
(6)給出過去已有的具有相似功能的其他工具;
木馬Bobax(使用HTTP協議從指定的伺服器下載命令檔案)、木馬Setiri。
(7)可能調查處這個二進位制檔案的開發作者嗎?如果可以,在什麼樣的環境和什麼樣的限定條件下?
可以看到,Raul siles & David Perze
任務四:取證分析實踐
Windows 2000系統被攻破並加入殭屍網路
問題: 資料來源是Snort收集的蜜罐主機5天的網路資料來源,並去除了一些不相關的流量,同時IP地址和其他敏感資訊被混淆。回答下列問題:
(1)IRC是什麼?當IRC客戶端申請加入一個IRC網路時將傳送那個訊息?IRC一般使用那些TCP埠?
IRC是英文Internet Relay Chat的縮寫,1988年起源於芬蘭,已廣泛應用於全世界60多個國家,它是“talk”的替代工具但功能遠遠超過“talk”,IRC是多使用者、多頻道的討論系統,許多使用者可以在一個被稱為“channel”的地方就某一話題交談或私談。它允許整個Internet的使用者之間即時交談,每個IRC 的使用者都有一個nickname,所有的溝通就在他們所在的channel內以不同的nickname交談。
IRC在明文傳輸時一般使用6667埠,ssl加密時一般使用6697埠。
(2)殭屍網路是什麼?殭屍網路通常用於什麼?
殭屍網路(英文名稱叫Botnet),是網際網路上在網路蠕蟲、特洛伊木馬、後門工具等傳統惡意程式碼形態的基礎上發展、融合而產生的一種新型攻擊方法。往往被黑客用來發起大規模的網路攻擊,如分散式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所儲存的資訊也都可被黑客隨意“取用”。
(3)蜜罐主機(IP地址:172.16.134.191)與那些IRC伺服器進行了通訊?
使用“ip.src == 172.16.134.191 and tcp.dstport == 6667” 過濾規則進行查詢,發現與5臺IRC伺服器進行了通訊,分別為:209.126.161.29、66.33.65.58、63.241.174.144 、217.199.175.10、209.196.44.172。
(4)在這段觀察期間,多少不同的主機訪問了以209.196.44.172為伺服器的殭屍網路?
tcpflow -r 20192418.dat "host 209.196.44.172 and port 6667"
得到report檔案
可以通過report檔案檢視通訊雙方的ip地址,埠,mac地址等網路資訊。
搜尋有多少臺主機進行過連線:
(5)哪些IP地址被用於攻擊蜜罐主機?
檢視埠並輸出到1.txt中(tcpdump -nn: 指定將每個監聽到的資料包中的域名轉換成IP、埠從應用名稱轉換成埠號後顯示;grep -v:排除指定字串;cut -d '.' -f 10:擷取以'.'為分隔符的第 10 列;uniq命令用於檢查及刪除文字檔案中重複出現的行列; wc -l 用於統計檔案的行數):
檢視1.txt
將連線IP地址輸出到2.txt中
檢視2.txt
6.攻擊者嘗試攻擊了那些安全漏洞?哪些成功了?如何成功的?
snort檢視網路流的分佈情況
可以看到全是UDP和TCP包
檢視TCP響應埠
(7)那些攻擊成功了?是如何成功的?
wireshark檢視135埠:
只是進行了連線,但是是沒有資料的互動。
wireshark檢視25埠:
只是進行了連線,也沒有進行資料的互動。
135和25埠只進行了TCP連線。
wireshark檢視139埠:
發現了NBSS包和SMB包(兩者都跟NetBIOS有關)以及一些TCP流,大量的空會話。
wireshark檢視445埠:
我們可以發現用這樣一個叫PSEXESVC.EXE的可執行檔案,這是可以利用遠端控制執行被害主機,並且獲取其許可權,常用於內網滲透:
wireshark檢視4899埠:
這個埠是一個遠端控制軟體radmin服務端監聽埠
wireshark檢視80埠:
猜測攻擊者想要利用緩衝區溢位攻擊來獲取主機許可權,檢視源地址為218.25.147.83,在tcp流中可以發現蠕蟲攻擊。
3.問題及解決方案
-
問題1:XP虛擬機器突然無法傳輸檔案
-
問題1解決方案:本來重灌了Xp系統,但是還是無法傳輸檔案,於是決定使用win10進行實驗。
-
問題2:IDA pro無法使用
-
問題2解決方案:熱心的麥齊同學給我發了一個7.0版本的IDA。
-
問題3:ProcessExprorer中無法找到RaDa的程序
-
問題3解決方案:在之前的操作中以為執行rada的彈窗是發生錯誤,每次都關掉。其實rada執行後就是彈出這個彈窗。。保持彈窗不關閉即可。
-
問題4:無法執行snort
-
問題4解決方案:多次安裝後終於安裝上了
4.學習感悟、思考等
本次實驗難度適中,用的軟體太多,在剛開始做的時候很迷茫無從下手。在同學的一一解惑下,自己實際做起來並不是很難,wireshark的不熟練使用讓我感覺很頭疼。本次實驗中,讓我對惡意程式碼部分知識瞭解更加深入,同時伴隨著這學期的惡意程式碼分析專業選修課程,讓我對惡意程式碼的產生,執行,原理有了更加深入的理解。本次實驗在多個軟體的綜合運用和分析下完成,使我受益匪淺。