PC端恶意代码分析Lab14.1-3:IDS标记

恶意代码分析是安全从业人员非常重要的一个技能。

参考书籍:<<恶意代码分析实战>>

               <<Windows核心编程>>

书本上用到的是snort，但我个人比较熟悉suricata引擎。所以下面以suricata为例，虽然两者之间相似处很多，几乎一样。

Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。

suricata支持多个动作，pass,reject,alert,drop.

多个协议:

TCP、UDP、ICMP、IP、http、ftp、ssh、imap

在网络行为监测上，是一个非常好用的工具。

因为suricata的关键字很多，下面只列举几个http协议的关键字，更多的可以去suricata官网查看。

http_method

修饰content,表示content只能在HTTP方法上匹配

http_uri/http_raw_uri

在请求URL缓冲区上匹配

uricontent

效果与http_uri相同

urilen

urilen用来匹配uri长度

http.protocol

protocol从请求或响应行检查协议字段

http.request_line

强制检查整个HTTP请求行

http.header/http.header.raw

匹配HTTP header缓存区所有信息

http.cookie

匹配cookie缓存区

http.user_agent

匹配的是user-agent中的纯文本内容

http.accept

与HTTP Accept header匹配的粘性缓冲区

http.accent_enc

与HTTP Accept-Encoding header匹配的粘性缓冲区

http.accept_lang

与HTTP Accept-Language header 匹配的粘性缓冲区

http.connection

与HTTP Connection header匹配的粘性缓冲区

http.content_type

与HTTP Content-Type header匹配的粘性缓冲区

http.content_len

与HTTP Content-Length header匹配的粘性缓冲区。

http_referer

要在HTTP Referer header上匹配的粘性缓冲区

http.start

检查HTTP请求/响应的起始

http.header_names

检查只包含HTTP头名称的缓冲区

http.request_body

匹配请求体

http.stat_code

匹配状态码

http.response_body

匹配返回的请求体

http.host

匹配host头

放入PEid查看，无壳

放入IDA中查看。

GetCurrentHwProfileA

得到硬件配置文件GUID

GetUserNameA

获取当前登录的用户名

这里进行base64编码，但是编码方式有点不一样，=改成了a。

然后将编码后内容与编码最后一位结合，作为传输url.

然后下载文件，创建一个进程运行。

这里运行一下，查看网络特征。

这里可以看到base64特征，替换两个a为=，解密，GUID和用户名

这里编写suricata的两个特征规则

alerttcp any any -> any any(msg:"Lab14.1 first.";  urilen:>32;content:"GET|20|/";  depth:5;pcre:"/GETx20/[A-Z0-9a-z+/]{3}6[A-Z0-9a-z+/]{3}6[A-Z0-9a-z+/]{3}6[A-Z0-9a-z+/]{3}6[A-Z0-9a-z+/]{3}6[A-Z0-9a-z+/]{3}t([A-Z0-9a-z+/]{4}){1,}//i";sid:100001; rev:1;)

alerthttp any any -> any any (msg:"Lab14.1 internet."; urilen:>32;content:".png"; http.uri;pcre:"//[A-Z0-9a-z+/]{24,}([A-Z0-9a-z+/])/1.png/URi";sid:100002; rev:1;)

第一个代表的是匹配GET类型，长度大于32，然后结尾都是6的前面，因为冒号，第六个总是t，因为破折号。然后这个匹配是忽略png的后缀。

然后这里第二个是匹配了png，用最后一个匹配的括号作为.png前缀的结尾。