恶意软件分析：测试尝试（二）

我决定获取一个名为“ BC.Heuristic.Trojan.SusPacked.BF-6.A”的示例，出于其他的原因，我不会把程序链接放到该示例，但是该示例的MD5哈希为0148d6e7f75480b3353f1416328b5135 。可以将其用作打开的恶意软件站点上的搜索词，以查找本次分析尝试中使用的样本。

下载文件后，我会使用Regshot拍摄注册表和计算机上文件的快照。然后，我运行文件，拍摄了另一个快照，并比较了两者。结果显示，执行时创建了多个文件和文件夹。

Files added: 3
----------------------------------
C:\Program Files\Windos\logg.dat
C:\Program Files\Windos\Windos.exe
C:\WINDOWS\Prefetch\MALWARE.EXE-155B9235.pf
----------------------------------
Files [attributes?] modified: 3
----------------------------------
C:\Documents and Settings\james\NTUSER.DAT.LOG
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\system.LOG
----------------------------------
Folders added: 1
----------------------------------
C:\Program Files\Windos
----------------------------------

我还注意到Debian服务器收到了来自被恶意软件感染的计算机的大量DNS请求。（部分查询用##修饰。）

Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104
Oct 12 19:32:52 debian dnsmasq[1028]: query[A] se7aaaaa.no-##.### from 192.168.56.104

^C^X
root@debian:/home/james#

因此，该恶意软件正尝试为其服务器获取其IP，我假设要么下载其他内容，要么向服务器发送一些数据。

由于存在此DNS请求，因此我想到的下一步是充分利用DNS服务器，并使用我自己的IP之一响应该请求，以查看下一步的操作。因此，我打开了/ etc / hosts文件，并向我的debian服务器192.168.56.101添加了指向se7aaaaa.no-##。###（已编辑）的新条目。然后，我在受恶意软件感染的计算机上启动了Wireshark，并重置了DNS守护进程。

这部分我不是100％确定的。但是我可以从中收集到的是，它正在尝试在端口81（即TOR端口）上与我的Debian服务器启动TCP连接。尽管这不一定意味着它试图以任何方式连接到TOR网络。无论服务器尝试执行什么操作，都无法正确响应（或根本无法响应），因此连接无法完全建立。我要做的下一步是在端口上设置一个netcat侦听器，然后查看正在发送的内容。为此，我输入了以下命令：

nc -l -p 81

-l指定一个侦听器，-p指定我要侦听的端口。

最后我收到的是一大堆复杂的数据，这里就不演示了。

关注：Hunter网络安全 获取更多资讯
网站：bbs.kylzrv.com
CTF团队：Hunter网络安全
文章：Xtrato
排版：Hunter-匿名者