打造自己的木馬分析實驗室
masepu (本文已發表於黑客防線,轉載請註明出處)
一、概述
木馬分析是一項需要技術、技巧和耐心的工作。專業人員可能先會對木馬程序進行反編譯,然後花大量時間分析令人目眩且晦澀難懂的彙編代碼。然而對於我們來說也許只是想了解一下偶爾遇到的可疑文件,看看是不是木馬,有些什麼樣的特點,以及控制着這些木馬的主機在什麼地方。要達到這個目標有沒有什麼簡便易行的方法,不用去學太多的專業知識,就能夠簡單的分析木馬呢,答案是肯定的。下面就讓我們開始打造自己的簡單木馬分析實驗室之旅吧。
二、前期準備
首先我們必須有一臺性能較好的電腦。如果你的電腦連運行一個虛擬機都卡的話,那你就需要另找一臺機器並將這兩臺機器聯網了。以下在虛擬機上作的工作你就得在另一臺主機上做了。我們需要的基本軟件包括:
1、 Windows2000以上操作系統(你的主機操作系統和虛擬機裏的操作系統);
2、 虛擬機軟件:Vmare、Virtual PC等,任選其一。本文以Vmare 6.0爲實驗環境;
3、 註冊表監視軟件:Regmon、RegSnap等,本文選RegSnap,用以監視木馬對註冊表的改動;
4、 文件系統監視軟件:FileMon等,也可使用RegSnap所帶的系統文件監視功能,用以監視木馬在文件系統中的活動;
5、 網絡數據嗅探軟件:sniffer pro、Ethereal等,本文選用Ethereal,用以截獲木馬和控制端之間的數據通信。
另外如果你要分析的木馬是利用其他常用軟件漏洞觸發的,你還必須安裝這些應用軟件,如office,winrar等存在漏洞的應用軟件的相應版本。
三、安裝
在你的主機上安裝Vmare軟件,然後在其中安裝操作系統(我安裝的是Windows XP SP2),如果你分析的木馬是特別針對其他類型系統的,那你可能需要安裝相應的操作系統,現在大部分木馬都是能在Windows XP下運行的。安裝好虛擬機操作系統後,我們先不要急着連接到網絡,而是先做一些設置和安裝我們的分析工具,首先將虛擬機操作系統的自動更新關閉(這是爲了防止分析網絡數據時升級數據包造成干擾),然後安裝上RegSnap和Ethereal, 確保正確安裝完成後給虛擬機做一個快照,該快照用於在實驗做完後將虛擬機系統恢復成初始狀態。
四、開始分析
運行虛擬機,將要分析的木馬程序拷貝到虛擬機中,待分析的木馬可能是可執行文件,也可能是doc,swf等存在漏洞的文件,對於後者我們需要在虛擬機系統中安裝上相應的存在漏洞的應用軟件,如office,flash player等,這樣才能保證漏洞順利觸發木馬成功運行。當然我們如果有能力的話可以將這些文件中的木馬手工分離出來,然後直接分析分離出來的木馬,這一部分知識在這裏就不敷述了。接下來我們打開RegSnap和Ethereal,先用RegSnap給系統做一個完整快照,包括註冊表的全部和重要系統目錄。然後集中精神,開始進入監控工作的核心環節。在確保關閉了其它任何連接網絡程序的前提下運行Ethereal的網絡數據嗅探,緊接着雙擊運行木馬,木馬開始隱蔽的工作了,我們可以看到Ethereal已顯示捕獲到了一些網絡數據,一般木馬在激活後會立即回連到控制端主機,這時我們就可以通過網絡數據找到木馬的回連域名和IP地址。現在我們可以停止Ethereal的嗅探,然後立即通過RegSnap再次對系統做一個全面快照,到此爲止木馬監控工作就算完成了,下面我們就要對剛纔得到的信息進行仔細分析了。首先對使用RegSnap做的兩次系統快照進行比較,看看在木馬運行前和木馬運行後系統文件和註冊表有哪些變化,如果系統目錄下有新增的可執行文件,註冊表中有新添加的啓動項鍵值,那麼那無疑就是木馬隱藏在系統中的程序體和自啓動鍵值了。讓我們再看看網絡數據,Ethereal顯示了不少剛纔截獲的數據包,經過分析我們可以確定其中某些可疑的連接就是木馬和控制端之間的通信。其中控制端的IP地址(使用代理則顯示的是代理的IP地址)一目瞭然。到此,我們確定了該木馬軟件的生成文件和註冊表啓動鍵值,找到了木馬回連的ip地址,通過ip地址我們可以大致確定它的地理位置。簡單的木馬分析也就結束了。
五、進一步擴展
以上只是針對常見的木馬進行分析的一般環境和步驟,木馬的種類繁多,特點各異。有的木馬採用UDP、ICMP等協議進行回連和數據傳輸,這需要我們仔細分析所截獲到的網絡數據,在其中發現木馬可疑的通信數據。更有一些RootKit木馬將寫入的註冊表的鍵值、木馬文件和數據通信都隱藏起來,讓我們無法使用以上工具在本機上發現任何異常。遇到這種情況,我們可以在同一網段的其他機器上安裝嗅探器來監聽裝有木馬的虛擬主機數據,用啓動盤進入虛擬機系統查找隱藏的木馬文件。這些都是我們根據具體情況要靈活採取的措施。也許有人會問我們分析木馬時不是我們的虛擬機系統被對方控制了麼?我們的分析行爲和IP地址也不就暴露了麼?如果你擔心實驗會向攻擊者泄漏你的網絡地址和意圖,那你必須將實驗環境網絡與互聯網斷開,不過我們只要保證實驗環境的局域網絡是連通的,就可以通過構造DNS服務器等方式來查看木馬企圖解析的回連域名和查找的控制端IP地址,雖然這樣對於木馬的網絡數據的分析就不能更加全面的展開了,但你的網絡分析工作對於木馬控制者來說就根本察覺不到了。