惡意代碼分析實踐

1.實驗內(nèi)容

    1.1識別惡意代碼的文件類型標識，進行脫殼與字符串提取。

    1.2使用IDA Pro靜態(tài)或動態(tài)分析所給exe文件，找到輸出成功信息的方法。

    1.3分析自制惡意代碼樣本并撰寫報告。

    1.4取證分析實踐。

2.實驗目的

    掌握惡意代碼分析技術(shù)，包括文件識別、脫殼、字符串提取及靜態(tài)動態(tài)分析，完成樣本分析與取證報告撰寫。

3.實驗環(huán)境

    安裝Kali鏡像的VMware虛擬機，具體配置如圖1所示：

（圖1，實驗環(huán)境虛擬機）

4.實驗過程與分析

    4.1 惡意代碼文件類型標識、脫殼與字符串提取

    4.1.1 分析原始rada樣本

    在Kali虛擬機中使用file命令分析目標文件的類型和結(jié)構(gòu)。

    分析結(jié)果表明RaDa.exe是一個32位Windows GUI可執(zhí)行文件，是一個帶有圖形用戶界面的應(yīng)用程序。它是針對Intel x86處理器設(shè)計的，內(nèi)部包含3個段。如圖2所示：

（圖2，在Kali虛擬機中分析RaDa文件）

    在Windows主機中使用軟件PEiD對目標文件進行分析。利用軟件PEiD可以發(fā)現(xiàn)文件使用了UPX加殼工具。

    分析結(jié)果表明PEiD檢測到該文件使用了UPX加殼，并給出了UPX加殼的版本區(qū)間，同時還顯示Markus & Laszlo是該UPX的開發(fā)者。如圖3所示：

（圖3，使用PEiD分析RaDa文件）

    4.1.2 分析脫殼后的RaDa樣本

    使用“超級巡警之虛擬機自動脫殼器”對RaDa樣本進行脫殼處理（我的電腦無法正常安裝超級巡警之虛擬機自動脫殼器，于是使用同學電腦脫殼后將文件傳回使用）。如圖4所示： 

（圖4，對RaDa文件進行脫殼處理）

    打開IDA Pro，選擇PE Executable，即對Windows下的可執(zhí)行文件進行分析。所需分析的文件是經(jīng)過脫殼后的RaDa_unpacked.exe文件。如圖5所示：

（圖5，打開IDA Pro工具）

    選擇IDA ViewA，在地址為00403F7A處可以看到RaDa文件的作者信息，為Raul Siles && David Perez；在地址為00403FD4處可以看到RaDa文件的創(chuàng)作時間，為2004年9月。如圖6所示：

（圖6，使用IDA Pro分析RaDa文件）

    4.2 利用IDA Pro靜態(tài)或動態(tài)分析所給的exe文件

    4.2.1分析文件crackme1.exe    

    在Windows主機的PowerShell中運行此文件，發(fā)現(xiàn)當輸入額外的參數(shù)不為1時，文件給出提示“I think you are missing something.”，當輸入1個參數(shù)時，文件提示“Pardon? What did you say?”。說明該文件需要額外輸入一個正確的參數(shù)。如圖7所示：

    在IDA Pro中打開文件crackme1.exe，選擇View→Graphs→Function calls，打開該文件的函數(shù)調(diào)用圖。如圖8所示：

    在函數(shù)調(diào)用圖中，發(fā)現(xiàn)函數(shù)sub_401280會調(diào)用strcmp用于字符串比較的庫函數(shù)以及fprintf、printf等涉及IO的庫函數(shù)，說明sub_401280函數(shù)可能會對接收的參數(shù)進行比較判斷，并輸出相應(yīng)語句。如圖9所示：

    選擇Windows→Functions，打開函數(shù)管理工具。如圖10所示：

    在函數(shù)管理窗口中，雙擊需分析的函數(shù)sub_401280，打開該函數(shù)的流程圖。如圖11所示：

    從函數(shù)流程圖中分析可知，輸入的參數(shù)不為2時，該程序?qū)⒔o出輸出“I think you are missing something.”。當程序得到兩個輸入時，如果第二個輸入為“I know the secret”，則程序給出輸出“You know how to speak to programs, Mr. Reverse-Engineer”；否則輸出“Pardon? What did you say?”。因此，我們需要輸入的第二個參數(shù)為字符串“I know the secret”。如圖12所示：

    在Windows主機的PowerShell中再次運行此文件，輸入額外參數(shù)“I know the secret”，得到了正確的回答。如圖13所示：

    4.2.2分析文件crackme2.exe

    在Windows主機的PowerShell中運行此文件，發(fā)現(xiàn)返回情況大體與crackme1.exe相似.但輸入額外參數(shù)為“I know the secret”時，仍然無法驗證通過，說明還需尋找適合文件二的正確參數(shù)。如圖14所示：

    打開crackme2.exe的函數(shù)調(diào)用圖，發(fā)現(xiàn)函數(shù)sub_401280會調(diào)用strcmp、fprintf、puts、putchar等可疑的庫函數(shù)，說明sub_401280函數(shù)可能仍是對接收的參數(shù)進行比較判斷的函數(shù)。如圖15所示：

    在函數(shù)管理工具中打開函數(shù)sub_401280的流程圖，分析可知，除crackme1所具有的比較內(nèi)容外，crackme2還對輸入的第一個參數(shù)進行了比較，要求其為“crackmeplease.exe”。說明我們需要將該文件的文件名修改為crackmeplease.exe再運行。如圖16所示：

    修改文件名，再次輸入?yún)?shù)。發(fā)現(xiàn)可以獲得正確的結(jié)果。需要注意的是，這里需要在cmd中運行，不要在PowerShell下運行，因為PowerShell中運行需使用“./crackmeplease.exe”，這樣會使得第一個參數(shù)匹配不通過而失敗。如圖17所示：

    4.3 分析惡意代碼樣本RaDa，并撰寫報告

    4.3.1分析文件的基本信息

    通過輸入以下命令對RaDa文件的進行文件類型識別、完整性驗證以及時間戳分析：

file RaDa.exe   #識別文件類型

md5sum RaDa.exe   #計算文件的md5摘要值

exiftool RaDa.exe | grep "Time Stamp"   #提取文件元數(shù)據(jù)并過濾時間戳信息

    從返回值中可以看出RaDa.exe是一個32位Windows GUI程序，其md5摘要值為caaa6985a43225a0b3add54f44a0d4c7，且在2004年10月30日編譯的。如圖18所示：

    4.3.2分析文件的目的

    在IDA Pro中分析脫殼后的RaDa文件。打開函數(shù)調(diào)用圖，發(fā)現(xiàn)函數(shù)sub_404FB0下有很多的子函數(shù)，可以分析該函數(shù)的流程圖以獲取更多信息。查看函數(shù)調(diào)用圖如圖19所示，查看sub_404FB0流程圖如圖20所示：

    查看sub_404FB0流程圖發(fā)現(xiàn)，該文件主要通過修改注冊表和定義惡意路徑，以實現(xiàn)惡意軟件的持久化駐留與遠程控制。具體分析如下：

    命令mov edx, offset aHttp10_10_10_1；"http://10.10.10.10/RaDa"，是將地址http://10.10.10.10/RaDa加載到edx寄存器。而IP地址10.10.10.10很可能是攻擊者的命令控制服務(wù)器。后續(xù)所有的下載指令、上傳數(shù)據(jù)都會與這個服務(wù)器通信。如圖21所示：

    對于四條命令命令mov edx, offset aRada_commands_ ; "RaDa_commands.html" 與 mov edx, offset aCgiBin ; "cgi-bin"與mov edx, offset aDownload_cgi ; "download.cgi"與mov edx, offset aUpload_cgi ; "upload.cgi"。它們連續(xù)調(diào)用了字符串拼接函數(shù)，分別將四個字符串復制到內(nèi)存中。其中RaDa_commands.html可能是攻擊者用來下發(fā)指令的網(wǎng)頁文件。cgi-bin可能是Web服務(wù)器上存放腳本的通用目錄。download.cgi可能是用于下載新指令或惡意模塊的腳本。upload.cgi可能是用于上傳竊取數(shù)據(jù)的腳本。使得這個惡意文件具備了接收命令與回傳數(shù)據(jù)的雙向通信能力。如圖22所示：

    對于命令mov edx, offset aCRadaTmp ; "C:\\RaDa\\tmp"表示惡意軟件在C盤根目錄下創(chuàng)建一個名為RaDa的文件夾，并在其中創(chuàng)建一個名為tmp的子文件夾，存放下載的臨時文件或竊取的數(shù)據(jù)。如圖23所示:

    對于命令offset aSoftwareMicros ; "Software\\Microsoft\\Windows\\CurrentVersion"，表示該文件通過HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run修改注冊表路徑，將自身添加為開機自啟動項，確保每次開機自動運行。如圖24所示：

    對于命令mov edx, offset aCRadaBin ; "C:\\RaDa\\bin"，是將"C:\\RaDa\\bin"復制到內(nèi)存。隨后連續(xù)調(diào)用兩次字符串拼接函數(shù)，得到完整的可執(zhí)行文件路徑“C:\\RaDa\\bin\RaDa.exe”。這個路徑將被用于保存自身的文件，并完成開機自啟動配置。如圖25所示：

    此外，嘗試運行脫殼后的RaDa進程，發(fā)現(xiàn)即使使用了管理員身份，且該文件不是只讀，仍無法正常運行。如圖26所示：

    4.3.3問題回答

    問題一：提供對這個二進制文件的摘要，包括可以幫助識別同一樣本的基本信息。

    回答一：它的md5摘要為caaa6985a43225a0b3add54f44a0d4c7。其他的基本信息包括：RaDa.exe是一個32位Windows GUI可執(zhí)行文件，是一個帶有圖形用戶界面的應(yīng)用程序。它是針對Intel x86處理器設(shè)計的，內(nèi)部包含3個段。具體截圖見圖2與圖18所示。

    問題二：找出并解釋這個二進制文件的目的。

    回答二：我認為這是一個遠程控制的后門程序。首先它創(chuàng)建了專屬的工作目錄，構(gòu)建開機自啟動的持久化機制進行潛伏與環(huán)境準備，隨后它連接遠程C&C服務(wù)器，最終等待并執(zhí)行任意惡意指令，比如數(shù)據(jù)竊取、參與DDoS攻擊、充當跳板等。

    問題三：識別并說明這個二進制文件所具有的不同特性。

    回答三：該二進制文件是一個由添加了UPX壓縮殼的、使用VBA編譯的、具備持久化和網(wǎng)絡(luò)通信能力的模塊化后門程序。它的特性包括：開機自啟動，動態(tài)動態(tài)創(chuàng)建工作目錄、與硬編碼C&C服務(wù)器進行HTTP通信，下載和執(zhí)行后續(xù)惡意載荷。

    問題四：識別并解釋這個二進制文件中所采用防止被分析或逆向工程的技術(shù)。

    回答四：該文件采用了UPX加殼技術(shù)，它通過壓縮原始代碼和劫持入口點隱藏程序邏輯。其應(yīng)對方法是使用UPX脫殼工具還原原始代碼，并通過動態(tài)調(diào)試繞過反調(diào)試機制。

    問題五：對這個惡意代碼樣本進行分類（病毒、蠕蟲等），并給出你的理由。

    回答五：我認為這個RaDa惡意代碼樣本屬于后門程序。它不具備自我復制或主動傳播的能力，而是通過偽裝誘導用戶執(zhí)行，其主要行為是在受害主機上建立一個隱蔽、持久的遠程訪問通道，以便攻擊者可以完全控制該主機。

    問題六：給出過去已有的具有相似功能的其他工具。

    回答六：后門程序有灰鴿子，能夠創(chuàng)建后門的工具包括msfvenom和veil。

    問題七：可能調(diào)查出這個二進制文件的開發(fā)作者嗎？如果可以，在什么樣的環(huán)境和什么樣的限定條件下？

    回答七：可以，該二進制文件的開發(fā)者是Raul Siles && David Perez。在IDA Pro中可以找到開發(fā)作者的信息。能夠獲取該信息需要作者在創(chuàng)作時就留下此類信息，同時該文件還需要以明文的形式展示（若加殼則需脫殼），此外還需要有一些專門的分析工具，比如此處的IDA Pro。

    問題八：給出至少5種檢測該惡意軟件的方法，例如基于特征碼的方法，需要詳細介紹每種方法。

    回答八：我認為可以采用基于特征碼的檢測，基于啟發(fā)式的檢測，沙箱檢測，基于網(wǎng)絡(luò)流量分析的檢測，基于日志分析的檢測的方式檢測該惡意軟件。

    方法一：基于特征碼的檢測。將該軟件的內(nèi)容與與病毒庫中的特征碼進行比對。如果匹配成功，就判定為惡意軟件。它包括靜態(tài)特征碼和UPX殼特征碼，對于使用了UPX加殼的可執(zhí)行文件，可將其標記為可疑文件。這種方式資源消耗低，對已知病毒非常有效，但是不在病毒庫中的特征值則無效。

    方法二：基于啟發(fā)式的檢測。通過分析代碼的行為和邏輯來猜測其是否為惡意。它使用一套預定義的規(guī)則和評分系統(tǒng)，如果程序的行為得分超過某個閾值，就會被判定為可疑。這種方式能夠檢測未知病毒和已知病毒的變種，但是漏報和誤報的可能性較大。

     方法三：沙箱檢測。在隔離的虛擬環(huán)境安全地執(zhí)行可疑文件并監(jiān)控它的行為。這種方式能看到惡意軟件的完整行為鏈，更加準確，但是資源消耗大，檢測速度慢，且部分高級惡意軟件能識別沙箱環(huán)境并選擇不執(zhí)行惡意行為。

    方法四：基于網(wǎng)絡(luò)流量分析的檢測。這種方式通過監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包，分析網(wǎng)絡(luò)流量的模式、協(xié)議和內(nèi)容，發(fā)現(xiàn)惡意行為。比如可以檢測主機是否連接了惡意IP地址并接收發(fā)送數(shù)據(jù)包，檢測主機是否下載了DDoS模塊往單一目標的SYN或UDP包。這種方式可以檢測到已成功滲透到內(nèi)網(wǎng)的惡意軟件，不受文件加殼影響，但是如果惡意軟件使用加密通信，檢測會較為困難。

    方法五：基于日志分析的檢測。通過分析日志，發(fā)現(xiàn)惡意軟件的惡意行為。這種方法是事后取證和發(fā)現(xiàn)失陷主機的手段，但是分析時日志量巨大，且攻擊者一般會清除自己的日志，分析困難。

    4.4 取證分析實踐

    4.4.1 IRC

    問題：

    （1）IRC是什么？

    （2）當IRC客戶端申請加入一個IRC網(wǎng)絡(luò)時將發(fā)送哪個消息？

    （3）IRC一般使用那些TCP端口？

    回答：

    （1）IRC的全稱為Internet Relay Chat，它是一種基于文本的實時網(wǎng)絡(luò)聊天協(xié)議，主要用于多用戶、多頻道的即時交流。僵尸網(wǎng)絡(luò)的控制者經(jīng)常利用IRC服務(wù)器作為命令控制服務(wù)器，被感染的肉雞會作為客戶端連接到指定的IRC頻道，等待攻擊者下達指令。

    （2）當IRC客戶端想要加入一個網(wǎng)絡(luò)時，它需要完成注冊操作，即發(fā)送一條PASS/NICK/USER組合消息。其中PASS是網(wǎng)絡(luò)或服務(wù)器所需的口令（可選），NICK是網(wǎng)絡(luò)上的昵稱，USER是注冊用戶的個人信息。在這些消息中，最核心的、標識身份的消息NICK和USER。當服務(wù)器收到這些信息后，如果昵稱沒有被占用，就會把用戶注冊到網(wǎng)絡(luò)中，并返回表示成功的代碼。

    （3）IRC最常使用的端口是6667端口與6697端口，偶爾也會使用其他相關(guān)的端口。其中6667端口是IRC的默認非SSL端口，其上通信是明文傳輸?shù)模?697端口是現(xiàn)代IRC最常用的SSL/TLS加密端口，可防止通信被竊聽。

    4.4.2 僵尸網(wǎng)絡(luò)

    問題：

    （1）僵尸網(wǎng)絡(luò)是什么？

    （2）僵尸網(wǎng)絡(luò)通常用于什么？

    回答：

    （1）僵尸網(wǎng)絡(luò)是一個由攻擊者通過命令與控制服務(wù)器集中控制大量被感染的互聯(lián)網(wǎng)設(shè)備組成的網(wǎng)絡(luò)。其中被控制的設(shè)備就是僵尸主機或肉雞。

    （2）僵尸網(wǎng)絡(luò)的核心價值在于龐大、可遠程控制的資源。攻擊者利用這些資源進行多種犯罪活動。比如發(fā)動DDOS攻擊、作為跳板增加追蹤難度、信息竊取與數(shù)據(jù)挖掘、靜默挖礦等。

    4.4.3 蜜罐主機

    問題：蜜罐主機（IP地址：172.16.134.191）與哪些IRC服務(wù)器進行了通信？

    回答：蜜罐主機與IP地址為209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10的IRC服務(wù)器進行了通信。

    在Wireshark中打開botnet_pcap_file.dat文件，通過命令ip.src==172.16.134.191 and tcp.dstport==6667，篩選源IP為172.16.134.191，目的端口為6667的數(shù)據(jù)包。經(jīng)過分析可知，蜜罐主機與4臺IRC服務(wù)器進行通信，IRC服務(wù)器的IP分別是209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10。如圖27所示：

    4.4.4 訪問過服務(wù)器的僵尸網(wǎng)絡(luò)

    問題：在這段觀察期間，多少不同的主機訪問了以209.196.44.172為服務(wù)器的僵尸網(wǎng)絡(luò)？

    回答：有3461個不同的主機訪問了這一僵尸網(wǎng)絡(luò)。

    在Kali虛擬機中需安裝軟件tcpflower。通過命令sudo apt update更新軟件包列表索引，再通過命令sudo apt-get install tcpflow，下載tcpflower。可通過命令tcpflow --version查看安裝版本。如圖28所示：

    通過命令tcpflow -r botnet_pcap_file.dat “host 209.196.44.172 and port 6667”，使用tcpflow，從botnet_pcap_file.dat文件中，篩選出與IP為209.196.44.172且端口為6667的主機相關(guān)的所有TCP流量數(shù)據(jù)。對于待分析文件botnet_pcap_file.dat可以不用從Windows主機上傳過來，可以直接用虛擬機登錄學習通下載。如圖29所示：

    執(zhí)行后，tcpflow會生成report.xml報告文件，包含了TCP流量的統(tǒng)計信息。此外還會生成獨立的TCP連接流文件，其文件名格式為：源IP.源端口—目的IP.目的端口。如圖30所示：

    在僵尸網(wǎng)絡(luò)場景中，受感染的主機會主動去連接服務(wù)器。因此，此處需要查找源IP為209.196.44.172的文件，使用命令cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ：//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l，精確統(tǒng)計訪問僵尸網(wǎng)絡(luò)服務(wù)器的不同客戶端數(shù)量。

    其中g(shù)rep -a "^:irc5.aol.com 353"用于篩選，只保留以:irc5.aol.com 353開頭的行；sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ：//g"用于清理修剪，只保留用戶名列表；tr ' ' '\n'用于轉(zhuǎn)換格式；tr -d "\15"用于刪除隱藏字符；grep -v "^$"用于刪除空行；sort -u用于排序去重；wc -l用于計數(shù)。

    從返回數(shù)據(jù)可知，共有3461臺不同的主機訪問了以209.196.44.172為服務(wù)器的僵尸網(wǎng)絡(luò)。如圖31所示：

    4.4.5 被用于攻擊蜜罐主機的IP地址

    問題：哪些IP地址被用于攻擊蜜罐主機？

    回答：共有165個IP地址被用于攻擊蜜罐主機，具體IP地址如圖32所示：

    通過tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20232409_1025.txt;wc -l 20232409_1025.txt，從botnet_pcap_file.dat文件中，找出所有向主機172.16.134.191發(fā)送數(shù)據(jù)包的源IP地址，保存并統(tǒng)計它們的具體數(shù)值。其中awk -F " " '{print $3}'表示提取源IP地址和端口，cut -d '.' -f 1-4表示從“源IP.源端口”中分離出純IP地址，sort | uniq表示對IP地址進行排序和去重。命令與結(jié)果如圖33所示：

    4.4.6 攻擊者使用的安全漏洞

    在Wireshark中打開將botnet_pcap_file.dat文件，選擇點Statistics→Protocol Hierarchy，分析網(wǎng)絡(luò)流量中各種協(xié)議的分布情況和層次結(jié)構(gòu)。從分析結(jié)果中可以看出，攻擊者大部分使用了TCP數(shù)據(jù)包（占比約99.7%），也有使用少量的UDP數(shù)據(jù)包（占比約0.3%）。如圖34所示。

    在Kali終端中使用命令tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq，篩選主機172.16.134.191發(fā)起的所有TCP連接的源端口號；使用命令tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq，篩選主機172.16.134.191發(fā)送的所有UDP數(shù)據(jù)包的源端口號。如圖35所示：

    對于TCP的分析結(jié)果可知，使用的端口有135（RPC，Windows遠程過程調(diào)用）、139/445（SMB，Windows文件共享）、25（SMTP，簡單郵件傳輸協(xié)議）、4899（Remote Administrator，遠程控制軟件）、80（HTTP，網(wǎng)頁服務(wù)）。對于UDP的分析結(jié)果可知，使用的端口為137（NetBIOS，Windows網(wǎng)絡(luò)鄰居功能）。

    4.4.7 成功的攻擊與原因

    成功的攻擊有：TCP連接得到445端口、4899端口、80端口。成功原因見具體分析部分：

    （1）TCP連接135端口

    在Wireshark中打開將botnet_pcap_file.dat文件，設(shè)置過濾條件為ip.addr==172.16.134.191 and tcp.port==135。如圖36所示：

（圖36，篩選TCP連接的135端口）

    經(jīng)分析可知，對于TCP連接的135端口，只有三次握手的數(shù)據(jù)包，而沒有后續(xù)的惡意數(shù)據(jù)包，且客戶端很快發(fā)送FIN請求斷開連接。因此135端口雖被成功連接，但未被成功利用。

    （2）TCP連接139端口

    設(shè)置過濾條件為ip.addr==172.16.134.191 and tcp.port==139。如圖37所示：

（圖37，篩選TCP連接的139端口）

    經(jīng)分析可知，對于TCP連接的139端口，具有三次握手的數(shù)據(jù)包，且攻擊者嘗試訪問共享目錄\\PC0191\c，但服務(wù)器返回RST拒絕訪問，后續(xù)也沒有惡意數(shù)據(jù)包。因此139端口雖然被成功連接，但未被成功利用。

    （3）TCP連接25端口

    設(shè)置過濾條件為ip.addr==172.16.134.191 and tcp.port==25。如圖38所示：

（圖38，篩選TCP連接的25端口）

    經(jīng)分析可知，對于TCP連接的25端口，具有三次握手的數(shù)據(jù)包。但接建立后，沒有后續(xù)的惡意數(shù)據(jù)包，且服務(wù)器很快發(fā)送FIN,ACK請求斷開連接。因此25端口雖然被成功連接，但未被成功利用。

    （4）TCP連接445端口

    設(shè)置過濾條件為ip.addr==172.16.134.191 and tcp.port==445。如圖39所示：

（圖39，篩選TCP連接的445端口）

    經(jīng)分析可知，外部主機195.36.247.77向172.16.134.191:445發(fā)起TCP三次握手，進行了NTLMSSP認證協(xié)商且通過認證，發(fā)起Tree Connect請求以訪問共享資源。

    此外，多個源IP向目標172.16.134.191:445發(fā)起大量SMB請求，其中包含了重復的NTLMSSP認證、Tree Connect到不同路徑以及大量的SAMR/DCE/RPC操作，這可能是橫向移動或掃描行為。

    最后，攻擊者通過445端口的SMB協(xié)議，成功刪除了目標主機172.16.134.191上路徑為C:\System32\PSEXESVC.EXE的文件。而PSEXESVC.EXE是Windows系統(tǒng)中PsExec工具用于遠程執(zhí)行命令的服務(wù)端組件，刪除該文件會導致PsExec無法正常工作，可能是攻擊者為清除痕跡或阻止后續(xù)檢測而采取的行動。如圖40所示：

（圖40，攻擊者刪除系統(tǒng)文件）

    綜上，對于TCP連接的445端口，已被攻擊者成功利用。攻擊者的具體攻擊方式為：初始連接→認證→權(quán)限擴張→惡意文件操作。且攻擊者能夠刪除System32目錄下的文件，說明它可能通過漏洞利用或則和弱口令攻擊的方式獲得了管理員權(quán)限。這屬于SMB漏洞利用。

    （5）TCP連接4899端口

    設(shè)置過濾條件為ip.addr==172.16.134.191 and tcp.port==4899。如圖41所示：

（圖41，篩選TCP連接的4899端口）

    經(jīng)分析可知，外部主機向172.16.134.191:4899發(fā)起TCP三次握手，隨后發(fā)送了大量rbakcupl > radmin-port [PSH,ACK]數(shù)據(jù)包，表示攻擊者通過4899端口持續(xù)傳輸數(shù)據(jù)。而PSH表示“緊急需要立即處理的數(shù)據(jù)”，說明攻擊者已建立穩(wěn)定的通信通道。如圖42所示：

（圖42，攻擊者傳輸數(shù)據(jù)）

    最后，攻擊者通過HTTP請求，發(fā)送目錄遍歷攻擊HEAD /cgi/../../../../../winnt/system32/cmd.exe?/c+dir。如圖43所示：

（圖43，攻擊者發(fā)送目錄遍歷攻擊）

    綜上，對于TCP連接的4899端口，已被攻擊者成功利用。攻擊者的具體攻擊方式為：初始連接→數(shù)據(jù)傳輸→惡意命令執(zhí)行。攻擊者通過4899端口的Web界面漏洞，成功執(zhí)行了系統(tǒng)命令，說明4899端口已被用來控制目標主機。這屬于遠程控制軟件漏洞利用。

    （6）TCP連接80端口

    設(shè)置過濾條件為ip.addr==172.16.134.191 and tcp.port==80。如圖44所示：

（圖44，篩選TCP連接的80端口）

    經(jīng)分析可知，在正常的TCP三次握手后，攻擊者向80端口發(fā)送了由大量字符“c”組成的數(shù)據(jù)包，這是一個緩沖區(qū)溢出的攻擊載荷。且在攻擊包發(fā)送后，服務(wù)器沒有返回任何RST或ICMP錯誤信息，說明服務(wù)器接收并處理了這個惡意請求。同時，在攻擊之后，客戶端和服務(wù)器之間還有正常的HTTP通信，雖然此次攻擊沒有導致服務(wù)崩潰，但攻擊者可能已在服務(wù)器中植入后門或維持了訪問權(quán)限，使得服務(wù)器被控制。如圖45所示：

（圖45，攻擊者發(fā)送緩沖區(qū)溢出載荷）

    綜上，對于TCP連接的80端口，已被攻擊者成功利用。攻擊者的具體攻擊方式為：初始連接→緩沖區(qū)溢出攻擊→惡意代碼執(zhí)行。攻擊者通過80端口的Web服務(wù)漏洞，成功發(fā)送了包含超長字符串的惡意載荷，導致目標服務(wù)器緩沖區(qū)溢出，從而控制目標主機。這屬于Web服務(wù)緩沖區(qū)溢出漏洞利用。

    （7）UDP連接137端口

    設(shè)置過濾條件為ip.addr==172.16.134.191 and udp.port==137。如圖46所示：

（圖46，篩選UDP連接的137端口）

    經(jīng)分析可知，對于UDP連接的137端口，雖然具有大量的NetBIOS服務(wù)掃描活動，但數(shù)據(jù)包內(nèi)容均為正常的名稱查詢與響應(yīng)，未包含任何攻擊載荷，應(yīng)當未被攻擊者成功利用。

5.問題及解決

    問題一：對于“超級巡警之虛擬機自動脫殼器”無法啟動其安裝程序。無論是雙擊，還是在命令行下用普通用戶或是管理員身份運行均無法打開。如圖47所示： 

（圖47，沒有權(quán)限訪問文件）

    解決一：不知道具體的原因所在，于是在其他同學的電腦上進行脫殼再將脫殼后的文件傳回我的電腦進行分析。

    問題二：在運行crackme2.exe時，已經(jīng)將文件名改成了crackmeplease還是無法獲得正確的回答。如圖48所示：

（圖48，修改文件名后無法得到正確回答）

    解決二：這是因為我原先的PowerShell中運行，其前面會帶“./”，使得參數(shù)名稱不匹配，而不添加“./”又無法正常運行程序。將其改換到在cmd下就可以正常運行了。

    問題三：在統(tǒng)計訪問僵尸網(wǎng)絡(luò)服務(wù)器的不同客戶端數(shù)量。我是用命令cat 172.016.134.191.01152-209.196.044.172.06667 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ：//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l，卻發(fā)現(xiàn)訪問數(shù)量為0？如圖49所示：

（圖49，訪問僵尸網(wǎng)絡(luò)服務(wù)器客戶端數(shù)量為0錯誤）

    解決三：后續(xù)我了解到，在僵尸網(wǎng)絡(luò)場景中，受感染的主機會主動去連接服務(wù)器。因此，在統(tǒng)計訪問僵尸網(wǎng)絡(luò)服務(wù)器的不同客戶端數(shù)量時，需要查找源IP為209.196.44.172的文件。

6.心得體會

    本次實驗我學習了系統(tǒng)監(jiān)控與惡意代碼分析，學習的內(nèi)容有：對惡意代碼樣本進行識別文件類型、脫殼、字符串提取操作，使用IDA Pro靜態(tài)或動態(tài)分析所給exe文件，找到輸出成功信息的方法，分析惡意代碼樣本并找出它的基本信息與目的，對于Snort收集的蜜罐主機網(wǎng)絡(luò)數(shù)據(jù)源進行取證分析。通過進行實踐以及相關(guān)問題的回答，我對于系統(tǒng)監(jiān)控與惡意代碼分析的實現(xiàn)方式與基本原理有了初步的了解。

    實驗過程整體順利，但也遇到了一些問題。問題主要出現(xiàn)實驗環(huán)境配置上：我使用的脫殼工具始終無法在本機正常運行。盡管我已嘗試以管理員身份執(zhí)行，并確保了所有必要的文件權(quán)限，問題依然存在。這一情況在其他同學中并未出現(xiàn)，由于無法準確定位根源，最終我只能在同學的設(shè)備上完成脫殼后，再將文件傳回進行后續(xù)分析。

    此外，在分析過程中，我也因?qū)δ承┘毠?jié)理解不足而走過彎路。例如，在分析crackme2樣本時，由于未能第一時間意識到PowerShell與cmd在命令行參數(shù)傳遞機制上的差異，導致長時間無法獲得預期結(jié)果。直至反復比對并總結(jié)出參數(shù)傳遞的規(guī)律后，才得以順利解決。同樣，在統(tǒng)計訪問僵尸網(wǎng)絡(luò)服務(wù)器的獨立客戶端數(shù)量時，初期因混淆了網(wǎng)絡(luò)流量中源IP與目的IP的邏輯關(guān)系，使得統(tǒng)計結(jié)果始終為零。經(jīng)過多次嘗試與邏輯梳理，我才最終明確了數(shù)據(jù)包中IP地址的正確對應(yīng)關(guān)系，完成了統(tǒng)計。

    總而言之，在本次實驗中，我學習了系統(tǒng)監(jiān)控與惡意代碼分析技術(shù)，并進行了相關(guān)實踐，體驗了分析惡意代碼以及取證的方法。我相信本次的實驗會對我未來在網(wǎng)絡(luò)與系統(tǒng)攻防技術(shù)的學習有所幫助。