如何搭建一套自己的蜜罐系統來收集惡意軟體樣本
引言
本文將介紹如何搭建自己的蜜罐(dionaea)。我想說的是,我們大多數人都喜歡逆向工程二進位制檔案。同時,我們中的許多人都對惡意軟體很著迷。那麼,為什麼不把它們和一些正在被開發利用的惡意軟體結合起來呢?
我所要講的是如何在Amazon Web Services(AWS)上搭建蜜罐。如果你不熟悉AWS,這不沒有關係,你只需要知道:他們提供了許多伺服器,而你可以使用它們。需要注意的是,如果你只需要一個小於50GB的硬碟空間的話,那麼你可以建立一個免費的伺服器。不過,你必須向AWS提供你的信用卡資訊,但只要你不超過“免費套餐”的限額的話,你就可以永久免費使用這些伺服器。現在,你可以啟動n個微型例項,但每個月總共只能獲得1個月的免費小時數。因此,如果你啟用了兩個微型例項,它們會分攤免費小時數。一旦超過,就將收費,直到月底。所以,請小心。
所需技能
l 基本的Linux命令
l 對網路知識基本的理解
所需資源
伺服器(AWS就很好,還免費提供w/CC)
免責宣告(可選)
一些託管服務提供商不喜歡惡意軟體。
所以,如果他們不像你那樣酷的話,也許不會喜歡你在他們的伺服器上收集惡意軟體樣本。
配置AWS
我現在開始介紹如何配置你的AWS例項。
[如果你未使用AWS,請跳至下一部分。]
1.單擊EC2並建立新例項(EC2 == AWS Servers)。之後,你需要選擇Ubuntu Server 14.04 LTS。
2.接下來,選擇微型例項型別。
3.很好,現在配置細節,選擇“Auto-assign Public IP”,並將其設定為“Enable”。
4.對於儲存,只需新增預設值並單擊“Next”。
5.忽略新增標籤,然後單擊“Next”。
6. 對於配置安全組,需要深入介紹一下。預設情況下,AWS僅允許為你的伺服器開放SSH。因此,你必須更改此設定,以便讓伺服器開放所有埠。是的,這很不安全,但這就是我們所需要的。
7.啟動。
8.好吧,這部分有點複雜。想要使用SSH連線到你的伺服器例項,你必須更改私鑰(something.pem)的許可權,然後使用它更改ssh。給例項取一個主機名,它通常位於Public DNS(IPv4)下面。
在你的本地輸入以下命令,以連線到AWS伺服器。
$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem
配置伺服器
下面,讓我們像管理員那樣來配置伺服器。首先,執行下列命令:
$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;
然後,安裝依賴項。
# apt-get install git -y
# git clone
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/
好的,現在來設定配置檔案dionaea.cfg中的位置。
此檔案用於指定惡意軟體/二進位制檔案將被放在什麼位置、偵聽哪些介面和埠。你可以保留這些預設值,但請記住,日誌檔案會變得很大。我應該有大約1G的惡意軟體,而日誌檔案大小是19G。 因此,dionaea提供了許多不同的服務,可以讓你的蜜罐對更多型別的攻擊開放,而你會收到更多惡意軟體。
我們可以在services-available和services-enabled目錄中切換這些設定。透過編輯每個yaml檔案,你可以編輯服務以及它對駭客/bot的呈現方式。如果你想受到SMB攻擊,例如WannaCry,你需要對伺服器進行設定,使其接受smb。
# vim services-enabled/smb.yaml
如果要啟用預設的Windows 7設定,只需取消Win7對應的註釋符即可。剩下的,請隨意發揮創意。
最後但並非最重要的一點是,讓蜜罐執行起來。
結論
在第一次成功執行之前,我花了很長的時間才把蜜罐搭建好;但是第二次,我只用了16分鐘。如果你感到困惑,請參考這篇文件: 。
本文轉載至“安全客”,原文編輯:邊邊
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2157911/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何設定自己的Dionaea蜜罐來收集惡意軟體樣本
- 惡意程式碼分析之行為分析及樣本收集
- win10系統自帶的惡意軟體清理工具如何使用_win10系統惡意軟體清理工具的使用教程Win10
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- Ph0neutria:一款從野外採集惡意軟體樣本的工具
- Cuckoo惡意軟體自動化分析平臺搭建
- 美國網路司令部昨日再次分享七個新惡意軟體樣本
- 如何搭建自己的知識體系?
- 使用UnhookMe分析惡意軟體中未受監控的系統呼叫問題Hook
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux
- Zero Access惡意軟體分析
- OS X那些事---惡意軟體是如何啟動的?
- IPTV軟體如何做自己的廣告系統?
- 怎麼樣解決macOS遭遇惡意軟體入侵問題Mac
- Windows使用者注意!“紫狐”惡意軟體來襲Windows
- 微軟發現惡意 npm 軟體包,可從 UNIX 系統竊取資料微軟NPM
- 惡意軟體Emotet 的新攻擊方法
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 自己寫的一套 CiCd 工具系統
- 惡意軟體PE檔案重建指南
- 隱藏在xml檔案中的惡意軟體XML
- Android NFC 漏洞可被黑客拿來傳播植入惡意軟體Android黑客
- 研究發現約67%惡意Android軟體來自谷歌Play商店Android谷歌
- 最新惡意軟體來襲!專攻Windows盜版使用者Windows
- 首個針對蘋果M1晶片的惡意軟體來了!蘋果晶片
- 如何搭建屬於自己的股票交易系統?
- 記憶體安全週報第26期 | 新的惡意軟體濫用 GitHub 和 Imgur入侵系統記憶體Github
- 後門惡意軟體通殺 Win、macOS、Linux 三大系統;Linux 惡意程式數量增長 35% | 思否週刊MacLinux
- 動態惡意軟體分析工具介紹
- TrickBot和Emotet再奪惡意軟體之冠
- 【筆記】【THM】Malware Analysis(惡意軟體分析)筆記
- 惡意軟體開發-初級-Sektor 7
- 常見惡意軟體型別及危害型別
- 惡意軟體開發——記憶體相關API記憶體API
- 什麼是無檔案惡意軟體攻擊?如何防禦?
- 谷歌OAuth驗證系統曝漏洞,惡意軟體能夠用以竊取Google帳戶谷歌OAuthGo
- 針對資訊竊取惡意軟體AZORult的分析