快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

一项有趣的实验:装了杀软的主机真的安全吗?

*

媒介

我们有的理由嫌疑本人的主机早被感染了恶意程序。大部分人都是采用重打包后的镜像来装置的盗版体系;用的不知从哪儿下归来的工具激活的体系;平常在网上下载的工具奉行的都是能用就行的绳尺。而我们也都抱着侥幸心理——人人都在用,应该没问题,大不了装了杀软再扫一遍。何况,杀软都没检查出来,这让我们也很无奈啊,还有什么办法呢?带着如许的问题,笔者细细琢磨了下,并遵照本人的设法主张做了一个有趣的实验。

首要内容

思惟道理

杀软主若是通过扫描文件来发现体系是否被感染,扫描策略大部分是静态特征扫描,这个方式对发现已知病毒程序颇有用,然而对于发现高级或未知的病毒程序就没那么有用了。那还有什么方式来检测呢?

笔者是如许想的,假设我的主机已被感染,病毒程序会寻求与C&C(命令与控制)服务器的通讯。我们可以对主机对外通讯的目的IP地址进行审计,基于开源的威胁情报,排查目的IP地址的恶意性。那也就是说,我们可以从数据包的层面来检测主机是否被病毒感染。

实验要领

为验证笔者的设法主张,笔者做了以下实验预备:

1.数据采集

笔者在夜深人静的时辰,重启了5台电脑,每一台电脑上采用wireshark抓包(重启电脑,是为了保障流量的纯粹性),始终采集到笔者第二天一大早来将抓取的数据包保存。期间未有对电脑的任何其他操作。这么做,是绝可能地排除一些干扰项,便于后面的阐发。

2.IP地址阐发接口

对数据包的解析以及基于威胁情报的查询需要借助一些工具实现。笔者基于从前的积累,采用Python的dpkt库对数据包进行解析。首要分为两步,一是提取数据包中的IP地址,二是对IP地址进行去重。

IP地址恶意性查询接口,笔者选用的是国外的开源威胁情报社区AlienVault。这个社区的威胁情报做的很周全,而且具有开源精神,不会制约查询次数(基于对国内厂商的认识,我很想说三遍),API查询接口的使用也无譬喻便。

起首在AlienVault上注册一个账号,只要要邮箱验证,注册成功后,走访:https://otx.alienvault.com/api,在API接口网页的右边会有生成好的API_KEY,以下图所示。

装了杀软的主机真的安全吗?

同时,在页面上点击Python SDK,以下图所示,会直接进入基于Python的查询开源程序。

装了杀软的主机真的安全吗?

按照github上的装置说明,装置OTXv2依靠库即可。下面,来讲解实验的详细实施过程。

实验步骤

实验步骤共分为3步,第一步获取数据包中的IP地址;第二步解析IP地址的地理信息(总以为国外IP地址怀疑更高,包涵,有种执念);第三步查询IP地址的恶意性。笔者将这三步都在Python脚本程序中完成。解析IP地址以及IP地址地理信息查询可以借鉴笔者的[这个项目]。这里重点说一下怎么样行使AlienVault的API接口对IP地址的恶意性进行查询。废话不久不多说,直接上代码,起首在全局变量API_KEY中替代成本人的key,然后直接调用AlienVault的函数接口,其中的CheckIp()函数即是AlienVault给出的样例函数,如感兴致,可以在源代码中查看。

装了杀软的主机真的安全吗?

下面最先运行程序:

python hot_ip.py–pcapfile=./data/out500.pcap -d –c  #-d为提取目的IP地址,-c为对ip地址进行检测。

装了杀软的主机真的安全吗?

考虑到时间身分,这里只取了部分收集数据包进行解析,由动图可看出,起首得到了去重的目的IP地址,在程序中会以out_IP.txt保存下来;然后解析IP地址的地理信息,在程序中会以ip_location.txt保存下来;最后排查IP地址的恶意性,解析为疑似恶意的IP地址,数据库黑客,会存在malicious_results.txt文件中。下面打印出malicious_results.txt的效果。

f117@ubuntu:~/Downloads/experiment/check_ip$ cat malicious_results.txt 
114.114.114.114   potentially malicious   中国-江苏-南京   https://otx.alienvault.com/indicator/ip/114.114.114.114
  104.18.24.243   potentially malicious   美国-XX-XX   https://otx.alienvault.com/indicator/ip/104.18.24.243
  117.18.237.29   potentially malicious   台湾-台湾-台北   https://otx.alienvault.com/indicator/ip/117.18.237.29
   183.57.48.18   potentially malicious   中国-广东-深圳   https://otx.alienvault.com/indicator/ip/183.57.48.18
  40.77.226.249   potentially malicious   爱尔兰-Dublin-XX   https://otx.alienvault.com/indicator/ip/40.77.226.249

得到了疑似恶意的IP地址,下面就最先对这几个IP进行阐发。

数据阐发

可以看到,出现了5个疑似恶意的IP地址,如114.114.114.114,我们都知道是国内的域名服务器,这条威胁情报,在微步在线以及AlienVault上都能查到,说明这台域名服务器曾经被行使来做过些什么。

下面,笔者举一例,阐发一个IP地址,其他IP地址就可以类似的阐发了。对104.18.24.243美国的这个IP进行阐发,起首走访https://otx.alienvault.com/indicator/ip/104.18.24.243,这是AlienVault对这个IP地址的阐发,由下图可以看到,疑似是木马的通讯地址。

装了杀软的主机真的安全吗?

进一步,点击Trojan这一条信息,进去页面,在reference标签处发现这是一条由微步在线发布的情报信息。由下图所示。

装了杀软的主机真的安全吗?

同时,这个IP地址在数据包中,体现出以下通讯过程。

装了杀软的主机真的安全吗?

就这些查询都看不出太多异常。那么是否可以通过这个IP地址,找到产生它的程序文件呢?当然可以。详细可经由下面的步骤得到,起首,通过IP地址查到进程号,关上dos或者powershell命令窗口,运行命令:netstat -ano | findstr “104.18.24.243″,有以下效果。

装了杀软的主机真的安全吗?

可以看到,该进程的进程号为5200,再通过进程号关联到进程的名字,运行命令:tasklist | findstr “5200″,有以下效果。

装了杀软的主机真的安全吗?

可以看到,是WinStore.App.exe这个程序在执行。继续深挖,可以通过命令查询到启动文件的路径,运行命令:wmic process list full | findstr”WinStore.App.exe”,有以下效果。

装了杀软的主机真的安全吗?

这就直接找到了产生这个IP地址的启动文件,由图中可以看到,在C:\Program Files\WindowsApps\这个目录下。下一步就可以对这个文件的恶意性进行阐发。可以人工逆向阐发,也能够上传到云沙箱阐发。如发现异常,就需要对这台电脑来次彻底检查了。本文到此为止,全部阐发流程就先容完了,感兴致的同伙还可以对其他IP地址或本人本机上产生的IP地址进行阐发,在此过程中,信赖会发现很多不同样的器械。最后,给出笔者这次实验的程序代码。

实验代码:https://github.com/scu-igroup/check_ip

总结

本文所描摹的实验,表示我们可以不依靠于杀软来进行排查,为发现主机异常提供了另一种方式。结合当前流行的威胁情报,也能够本人来排查主机中的异常;但同时也必须指出,威胁情报只是提供了一条可能的线索,是不是真实的异常还需一定的专业知识来确认。同时,对主机的安全性阐发还有很多其他要领以及路子,笔者近期在这方面正在耕耘,人人若有新的设法主张,欢迎一块儿交流。

*

您可能还会对下面的文章感兴趣: