Docker化自動採集&模擬惡意軟體環境

深信服千里目發表於2020-11-26

概述

一個真實的Linux惡意軟體入侵環境,往往包含有病毒檔案、病毒程式、惡意啟動項、網路通訊流量等病毒項,若我們只獲得單一的病毒檔案,很難還原出惡意軟體的整個攻擊環境,從而不便於對攻擊鏈進行全面的研究分析,以及產品安全能力測試。下面,介紹一種基於Docker的方法,可以自動化地採集及還原惡意軟體的整個攻擊場景,以最大程度地模擬主機中毒的環境,方便後續對惡意軟體進行研究與分析。

該方法的原理是,使用bash指令碼自動化收集中毒主機上的病毒項,然後打包成容器環境,最後通過Docker在本地模擬執行,這時生成的Docker容器就包含了完整的惡意軟體環境。

Docker化自動採集&模擬惡意軟體環境

詳細步驟

如下,以StartMiner(8220挖礦家族)的中毒環境作為演示,通過命令可以看到主機中包含有惡意定時任務、病毒檔案、病毒程式等資訊。

Docker化自動採集&模擬惡意軟體環境

 

採集指令碼具體的程式碼如下,主要採集以下目錄的檔案:

[1] /tmp/、/root/、/opt/ 病毒檔案常見目錄

[2] 定時任務檔案

[3] ssh快取檔案

[4] syslog和audit安全日誌

[5] 程式資訊

[6] 網路資訊

Docker化自動採集&模擬惡意軟體環境

 

然後自動化生產docker-compose.yml檔案,用於一鍵建立docker容器。

Docker化自動採集&模擬惡意軟體環境

 

malbox.sh指令碼執行數秒後,即可打包好所有病毒項,生成檔案malbox.tar.gz。

Docker化自動採集&模擬惡意軟體環境

 

將malbox.tar.gz在本地解壓縮,malbox目錄便包含Docker環境的所需的檔案系統和配置檔案,docker-compose.yml的功能為對映關鍵目錄,及模擬執行惡意命令。在執行之前需要自定義下docker-compose.yml的資訊,填上病毒家族名,以及啟動時要執行的命令(可以參考ps.txt及netstat.txt填上需要模擬的病毒程式命令)。

Docker化自動採集&模擬惡意軟體環境


修改完後,使用命令docker-compose up -d即可一鍵部署容器,檢視容器列表,若出現了startmienr_2010便說明容器執行成功了。

Docker化自動採集&模擬惡意軟體環境

 

惡意軟體容器所使用的基礎映象為malbox,該映象在ubuntu映象基礎上新增了惡意軟體常用到的一些命令及服務(wget、curl、ssh、crontab等),以達到更好的模擬效果。

Docker化自動採集&模擬惡意軟體環境

 

使用docker exec -it startminer_2010 /bin/bash命令,就能進入到容器,此時的環境就跟中毒主機的環境幾乎一樣了,可以在該環境中進行排查分析。

Docker化自動採集&模擬惡意軟體環境

 

檢視程式,也能清晰地看到惡意的下載程式,以及CPU佔用率極高的挖礦程式。

Docker化自動採集&模擬惡意軟體環境

 

容器中的syslog日誌和audit.log日誌,也有助於研究員對整個惡意軟體的攻擊鏈進行溯源。

Docker化自動採集&模擬惡意軟體環境

 

audit可以使用自定義規則進行監控,將可疑行為按照ATT&CK矩陣進行分類。

Docker化自動採集&模擬惡意軟體環境

總結

模擬出來的惡意軟體容器,方便搭建及部署,若有蜜網或EDR環境,還可以將容器接入到其中以更好地檢測收集惡意軟體的惡意流量、惡意行為。


參考連結https://github.com/vulhub/vulhub/

相關文章