如何搭建一套自己的蜜罐系統來收集惡意軟體樣本

引言

本文將介紹如何搭建自己的蜜罐（dionaea）。我想說的是，我們大多數人都喜歡逆向工程二進位制檔案。同時，我們中的許多人都對惡意軟體很著迷。那麼，為什麼不把它們和一些正在被開發利用的惡意軟體結合起來呢？

我所要講的是如何在Amazon Web Services（AWS）上搭建蜜罐。如果你不熟悉AWS，這不沒有關係，你只需要知道：他們提供了許多伺服器，而你可以使用它們。需要注意的是，如果你只需要一個小於50GB的硬碟空間的話，那麼你可以建立一個免費的伺服器。不過，你必須向AWS提供你的信用卡資訊，但只要你不超過“免費套餐”的限額的話，你就可以永久免費使用這些伺服器。現在，你可以啟動n個微型例項，但每個月總共只能獲得1個月的免費小時數。因此，如果你啟用了兩個微型例項，它們會分攤免費小時數。一旦超過，就將收費，直到月底。所以，請小心。

所需技能

l  基本的Linux命令

l  對網路知識基本的理解

所需資源

伺服器（AWS就很好，還免費提供w/CC） 

免責宣告（可選）

一些託管服務提供商不喜歡惡意軟體。

所以，如果他們不像你那樣酷的話，也許不會喜歡你在他們的伺服器上收集惡意軟體樣本。

 

配置AWS

我現在開始介紹如何配置你的AWS例項。

[如果你未使用AWS，請跳至下一部分。]

1.單擊EC2並建立新例項（EC2 == AWS Servers）。之後，你需要選擇Ubuntu Server 14.04 LTS。

 

2.接下來，選擇微型例項型別。

3.很好，現在配置細節，選擇“Auto-assign Public IP”，並將其設定為“Enable”。

4.對於儲存，只需新增預設值並單擊“Next”。

5.忽略新增標籤，然後單擊“Next”。

6. 對於配置安全組，需要深入介紹一下。預設情況下，AWS僅允許為你的伺服器開放SSH。因此，你必須更改此設定，以便讓伺服器開放所有埠。是的，這很不安全，但這就是我們所需要的。  

7.啟動。

8.好吧，這部分有點複雜。想要使用SSH連線到你的伺服器例項，你必須更改私鑰（something.pem）的許可權，然後使用它更改ssh。給例項取一個主機名，它通常位於Public DNS（IPv4）下面。

在你的本地輸入以下命令，以連線到AWS伺服器。

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem 

 

配置伺服器

下面，讓我們像管理員那樣來配置伺服器。首先，執行下列命令：

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

然後，安裝依賴項。

# apt-get install git -y
# git clone 
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的，現在來設定配置檔案dionaea.cfg中的位置。

此檔案用於指定惡意軟體/二進位制檔案將被放在什麼位置、偵聽哪些介面和埠。你可以保留這些預設值，但請記住，日誌檔案會變得很大。我應該有大約1G的惡意軟體，而日誌檔案大小是19G。 因此，dionaea提供了許多不同的服務，可以讓你的蜜罐對更多型別的攻擊開放，而你會收到更多惡意軟體。

我們可以在services-available和services-enabled目錄中切換這些設定。透過編輯每個yaml檔案，你可以編輯服務以及它對駭客/bot的呈現方式。如果你想受到SMB攻擊，例如WannaCry，你需要對伺服器進行設定，使其接受smb。

# vim services-enabled/smb.yaml

如果要啟用預設的Windows 7設定，只需取消Win7對應的註釋符即可。剩下的，請隨意發揮創意。

最後但並非最重要的一點是，讓蜜罐執行起來。

結論

在第一次成功執行之前，我花了很長的時間才把蜜罐搭建好；但是第二次，我只用了16分鐘。如果你感到困惑，請參考這篇文件： 。

本文轉載至“安全客”，原文編輯：邊邊