HW蓝队之恶意程序快速定位

admin 2021年10月24日08:25:04评论112 views字数 836阅读2分47秒阅读模式

HW蓝队之恶意程序快速定位

扫一扫关注公众号,长期致力于安全研究

前言:本章讲解恶意代码分析前期的收集情况



0x01 前期分析

在HW攻防中,红队的木马种类多之又多,而好多蓝队只会看看日志就去吃泡面了....更夸张来说红队做了免杀之后,蓝队甚至都无法发现。

分析工具准备:

PEView,strings,Process Explorer,Process Monitor,AateDNS,NetCat等。

恶意代码的前期分析,根据一些简单的工具来进行判断该木马进行了哪些操作,并更好的下一步操作


0x02  实战分析流程

本次以恶意代码分析书中的Lab3-01的程序进行分析。

1.拿到程序之后,首先看一下是否加壳。

HW蓝队之恶意程序快速定位

可以看到文件已经被加壳,而经过PE工具查看,唯一的导入函数是ExitProcess。

2.查看字符串

    由于文件被加壳,通过strings.exe可以看到以下内容,注册表,网络特征等敏感字符串

HW蓝队之恶意程序快速定位


0x03 更深一步分析

1.通过Procmon工具进行分析

    这里设置一个过滤器,选择的是Lab03这个exe,并进行监控

HW蓝队之恶意程序快速定位

之后查看状态,该程序操作了注册表方面

HW蓝队之恶意程序快速定位

    如上图,这么多注册表相关的,我们也具体也无法知道他做了哪些注册表的操作,这里我们就用到了一个新的工具。Regshot

HW蓝队之恶意程序快速定位

这个程序用法很简单,在运行恶意程序之前,首先创建快照A,当恶意程序运行之后,在创建快照B,之后该程序就可以分析出两次注册表的不同之处。

可以看到当恶意程序运行之后,注册表被更改后的内容。这样就可以快速定位恶意程序做了哪些事情。

HW蓝队之恶意程序快速定位

上方只是进行行为分析,我们可以通过ApateDNS进行网络分析,我们可以看到恶意程序对下方标蓝的这个域名进行了请求。

也可以通过Netcat进行分析,这里就不做过多介绍

HW蓝队之恶意程序快速定位


0x04 结尾

这只是最简单的恶意程序前期分析流程。后期深入的话,还需要具备逆向能力。希望蓝队的大佬可以深入学习一下~

11111
微信搜索关注 "安全族" 长期致力于安全研究


下方扫一下扫,即可关注

HW蓝队之恶意程序快速定位




本文始发于微信公众号(安全族):HW蓝队之恶意程序快速定位

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月24日08:25:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HW蓝队之恶意程序快速定位https://cn-sec.com/archives/398759.html

发表评论

匿名网友 填写信息