20192405張紋豪 2021-2022-2 《網路與系統攻防技術》實驗四實驗報告
20192405張紋豪 2021-2022-2 《網路與系統攻防技術》實驗四實驗報告
目錄- 20192405張紋豪 2021-2022-2 《網路與系統攻防技術》實驗四實驗報告
一.實驗內容
一、惡意程式碼檔案型別標識、脫殼與字串提取
二、使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe,尋找特定輸入,使其能夠輸出成功資訊。
三、分析一個自制惡意程式碼樣本rada,並撰寫報告,回答問題
四、取證分析實踐
二.實驗過程
任務一:惡意程式碼檔案型別標識、脫殼與字串提取
(1)在kali中使用file指令檢視檔案型別
(2)用PEid檢視加殼工具
(3)用strings指令檢視字串
由於沒有脫殼所以為亂碼
(4)使用脫殼工具脫殼
(5)檢視字串
- 執行RaDa_unpacked.exe程式,在Win10中使用ProcessExplorer檢視程式的Strings,看到Copyright (C) 2004 Raul Siles & David Perez,可知作者是Raul Siles和David Perez
任務二:使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe,尋找特定輸入,使其能夠輸出成功資訊。
1.creakme1.exe
(1)將crackme1.exe匯入IDA pro
(2)檢視函式呼叫圖
- 通過分析函式呼叫資訊,可以猜測主要的函式為
sub_401280,通過jump->jump to function->sub_401280
(3)檢視函式彙編程式碼
找到sub_401280函式的流程圖
函式首先判斷引數個數是否為2:
若引數個數不為2,輸出I think you are missing something;
若引數個數為2,則將第二個引數與I know the secret作比較,正確則輸出You know how to programs
所以我們推測,輸入的口令是I know the secret
再次執行程式驗證猜想
執行成功!
2.分析crakeme2.exe
(1)檢視函式呼叫圖
可以看出401280函式段負責判斷輸入引數
(2)檢視函式彙編程式碼
可以看出這個檔案要判斷引數位數是否正確、程式名是否正確、密碼是否正確
(3)進行驗證
驗證成功
任務三:分析一個自制惡意程式碼樣本rada,並撰寫報告,回答以下問題
3.1 實驗過程
- 在Kali終端下使用
md5sum命令檢視摘要資訊
md5摘要為 caaa6985a43225a0b3add54f44a0d4c7
- 開啟
process explorer後執行軟體,檢視屬性發現rada啟動後有如下行為:
(1)通過HTTP協議請求10.10.10.10\RaDa\RaDa_commands.html
(2)將檔案RaDa.exe複製到了C:\RaDa\bin目錄下
(3)修改登錄檔,將rada設定為開機啟動HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(控制計算機啟動項的登錄檔資訊)
(4)資訊裡反覆提到了cgi,經過查詢發現cgi程式是在遠端訪問伺服器時自動執行的程式。它不能放在任意目錄下,必須放在cgi-bin目錄下才可以執行
radar用cgi程式實現了檔案的上傳下載,下載的檔案儲存在了C:/RaDa/tmp目錄下
(5)完成這一系列操作後 程式開始執行DDOS遠端攻擊 即控制主機來攻擊其他主機
任務四:取證分析實踐
1.IRC是什麼?當IRC客戶端申請加入一個IRC網路時將傳送那個訊息?IRC一般使用那些TCP埠?
IRC是Internet Relay Chat 的英文縮寫,中文一般稱為網際網路中繼聊天。它是由芬蘭人Jarkko Oikarinen於1988年首創的一種網路聊天協議。申請時要傳送口令、暱稱和使用者資訊:USER 、PASS 、NICK。明文傳輸時一般使用6667埠,ssl加密時一般使用6697埠。
2.殭屍網路是什麼?殭屍網路通常用於什麼?
殭屍網路 Botnet 是指採用一種或多種傳播手段,將大量主機感染bot程式(殭屍程式)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。常用來實行拒絕服務攻擊、傳送垃圾郵件以及挖礦。
3.蜜罐主機(IP地址:172.16.134.191)與那些IRC伺服器進行了通訊?
篩選資料包,篩選條件為ip.src == 172.16.134.191 && tcp.dstport == 6667,可以看到5個IRC伺服器,分別是209.126.161.29、66.33.65.58、63.241.174.144、209.196.44.172、217.199.175.10。
發現蜜罐主機與5臺IRC伺服器進行了連線:209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172
4.在這段觀察期間,多少不同的主機訪問了以209.196.44.172為伺服器的殭屍網路?
- 命令
tcpflow -r botnet_pcap_file20192413.bat "host 209.196.44.172 and port 6667"讀取檔案,篩選host和埠6667分流。得到三個檔案
在report.xml檔案中可以看到雙方的ip地址,埠,mac地址等
輸入cat 209.196.044.172.06667-172.016.134.191.01152 | grep "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x .//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l來搜尋有多少主機連線。
得到結果顯示有3461臺主機訪問了
5 哪些IP地址被用於攻擊蜜罐主機?
輸入指令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20192405.txt;wc -l 20192403.txt
將攻擊蜜罐主機的ip篩選出輸出至20192403.txt檔案中
結果顯示有165個IP地址用於攻擊蜜罐主機
6 攻擊者嘗試攻擊了那些安全漏洞?
kali終端輸入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq篩選響應的tcp埠
篩選響應的tcp埠
得到的TCP埠有:
135(rpc)、139(netbios-ssn)、25(smtp)、445(smb)、 4899(radmin)、 80(http)
輸入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq篩選響應的udp埠
結果顯示程式訪問量udp 137埠,此埠在區域網中提供計算機的IP地址查詢服務,處於自動開放狀態,可用於NetBIOS查點
7 哪些攻擊成功了?是如何成功的?
用wire shark逐一分析前一問排查出被掃描的埠
-
tcp 445埠
有61.111.101.78向蜜罐主機發送PSEXESVC.EXE
PsExec通常會被攻擊者用作遠端主機執行命令,客戶端執行psexec.exe後若伺服器認證成功,會將psexesvc.exe上傳到服務端的ADMIN$目錄並作為服務執行,在執行完命令後刪除對應的服務和psexesvc.exe。
通過對客戶端和服務端的事件日誌、登錄檔、檔案系統進行分析,可以從客戶端主機獲得連線的目的主機,連線時間等資訊;從服務端主機可以獲得連線的客戶端資訊,連線時間等資訊。
點進去分析資料包發現主機是有響應的,此攻擊成功
-
tcp 80埠
發現24.197.194.106 與蜜罐的有互動連線數最多snort對資料包掃描發現,大部分報警資訊都為WEB-IIS、WEB-CGI、 WEBFRONTPAGE、WEB-MISC,即24.197.194.106利用IIS漏洞對蜜罐主機進行 了Web探測,但是沒有成功
- 分析發現
218.25.147.83向蜜罐主機發送的http報文帶有蠕蟲(c:\notworm)
三. 實驗中遇到的問題
脫殼一開始失敗了,換了1.3才脫殼成功,不知道為什麼版本高了反而失敗。
四. 實驗感想
這次的實踐是真的多!我也寫的是真的慢,慢慢的品味教材,慢慢的再寫知識點再慢慢的做實踐,邊做邊查,艾瑪,我真的成了個慢蝸牛了!不過這次的實踐中最讓我滿意的是實踐三,按照教材的邏輯框架自己實現了實踐,而且下載到了兩個不錯的工具,很nice~廢話不多說了,繼續努力吧!不得不說自己真的不大行。這周的四個題從前到後一個比一個讓我頭疼。尤其是最後一個,要不是有同學的部落格做參考,我怕是弄不出來多少