20232937文兆宇 2023-2024-2 《网络攻防实践》实践八报告
1.实践内容
动手实践任务一
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
动手实践任务二:分析Crackme程序
任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。
分析实践任务一:
分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
2、找出并解释这个二进制文件的目的;
3、识别并说明这个二进制文件所具有的不同特性;
4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
6、给出过去已有的具有相似功能的其他工具;
7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
分析实践任务二:
Windows 2000系统被攻破并加入僵尸网络
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:
1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
2、僵尸网络是什么?僵尸网络通常用于什么?
3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
5、那些IP地址被用于攻击蜜罐主机?
6、攻击者尝试攻击了那些安全漏洞?
7、那些攻击成功了?是如何成功的?
2.实践过程
动手实践一
首先进行查壳 发现是32位可执行程序,win平台,加壳用的是upx
用脚本脱壳,发现修改了文件 防止一键脱壳
用010打开 发现修改了三个参数,只需要把JDR0改为UPX0 JDR1改为UPX1 JDR!改为UPX!即可
脚本一键脱
upx -d RaDa.exe
ida打开查找字符串,发现作者名字
动手实践二
crackme1
ida打开 命令行传参 内容为 “I know the secret”
运行一下 发现成功
crackme2
和crackme1类似,先比较自己的名字是不是crackmeplease,然后判断key是否一样,成功的话,打印一堆异或的数据
这里直接改名 然后输入key 看看输出什么
输出了 Chocolate
分析实践一
用小辣椒查看一下基本信息
MD5:
CAAA6985A43225A0B3ADD54F44A0D4C7
行为分析丢微步沙箱直接看 也可以用火绒剑慢慢看
文件操作:在c盘下保留备份
注册表:修改注册表进行自启动
网络行为:有ddos攻击,涉及IP10.10.10.10 在目录下获取命令进行攻击
防止分析的技术包括加壳防止逆向分析,利用网站进行攻击,防止溯源,以及防止泄露攻击指令和信息,可以随时切断连接,保护自己。
留下后门,并且自启动是木马
大部分木马病毒都是通过frp 反弹shell进行攻击。如:Bobax
二进制文件的作者实践一已经分析过了:Raul Siles && David Perez
分析实践二
IRC是什么:
因特网中继聊天(Internet Relay Chat),一般称为互联网中继聊天,简称:IRC。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年的发展,世界上有超过60个国家提供了IRC的服务。IRC的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。所有用户可以在一个被称为\Channel\(频道)的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname(昵称)。
申请加入网络时要发生昵称 口令和用户信息
使用端口:6667端口(明文传输)、6697端口(SSL加密)
僵尸网络是什么以及它的作用:
僵尸网络(Botnet)是一种网络安全威胁,指的是攻击者通过传播僵尸程序(bot程序)病毒,感染并控制互联网上的大量主机,从而形成的一个可一对多控制的网络。这些被感染的主机,也被称为僵尸计算机,可以通过一个控制信道接收攻击者的指令,从而执行各种恶意行为,如发送垃圾邮件、发起分布式拒绝服务攻击(DDoS)、盗窃数据、传播恶意软件、制造虚假点击率、进行加密货币挖矿等。僵尸网络的形成通常涉及多种传播方式,如主动漏洞攻击、邮件病毒等。僵尸网络之所以被称为“僵尸网络”,是因为感染的计算机在不知不觉中被控制,类似于中国古老传说中的僵尸群被驱赶和指挥,成为被人利用的工具。僵尸网络的规模和复杂性使其成为一种严重的网络安全威胁,对个人、企业和政府机构构成严重威胁。
蜜罐主机(172.16.134.191)的通信流量 用wireshark打开,并过滤6667和6697端口,查看相关流量
ip.src == 172.16.134.191 && tcp.dstport == 6667 || tcp.dstport == 6697
通信ip经过上述过滤如下,发现下面这五个ip服务器与蜜罐主机进行了通信
查看多少不同的主机访问了209.196.44.172的服务器,首先打开kali,用工具进行分流过滤
tcpflow -r botnet_pcap_file.dat 'host 209.196.44.172 and port 6667'
找到对应的文件,输入命令查看不同主机的访问数量,发现数量为3462个
cat 209.196.044.172.06667-172.016.134.191.01152 | grep --text "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l
继续查看哪些ip地址被用于攻击蜜罐主机
tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > ipaddr.txt;wc -l ipaddr.tx
继续分析攻击者攻击了哪些漏洞
首先查看有哪些端口被攻击了
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
TCP:135,139,25,445,4899,80
UDP:137
对于137端口 用wireshark查看,拿到了一些用户信息
udp.dstport == 137 && ip.dst == 172.16.134.191
对于135和25端口,发现什么也没干
(tcp.dstport == 135 || tcp.dstport == 25)&& ip.dst == 172.16.134.191
对于80端口,尝试了缓冲区溢出攻击
tcp.dstport==80 && ip.dst == 172.16.134.191
对于139端口,没有发现什么有用的信息
tcp.dstport==139 && ip.dst == 172.16.134.191
对于445端口,可以发现有大量的数据,并且植入了PSEXESVC.EXE,用来进行远程连接,并且通过观察,发现建立成功,证明攻击者通过445端口渗透成功。
tcp.dstport==445 && ip.dst == 172.16.134.191
对于4899端口,该端口用来控制蜜罐主机
tcp.dstport==4899 && ip.dst == 172.16.134.191
3.学习中遇到的问题及解决
- 问题1:靶机链接不上桥接网络
- 问题1解决方案:重新配置该虚拟机的ip地址,并重启,可以成功连接到网络
4.实践总结
通过本次实验我学习了很多恶意软件检测的知识,可以利用ida来分析软件病毒,还可以通过各种小工具检测病毒的情况,同时还了解了wireshar的使用,在用wireshark分析病毒过程时,可以更进一步的学习整个病毒的流程,对我来说很有帮助。