Ph0neutria:一款從野外採集惡意軟體樣本的工具
ph0neutria是一個直接從野外採集惡意軟體樣本的工具。並且其所有采集的內容都將被儲存在Viper中,以便於訪問和管理。
該專案的靈感來源於 (一款惡意軟體爬蟲工具)。而相比之下,ph0neutria的優勢主要體現在以下幾點:
將爬取的範圍限制為僅經常更新且可靠的來源。
最大化個別指標的有效性。
提供單一可靠且組織良好的儲存機制。
不做Viper可以完成的工作。
那麼為什麼將該工具命名為ph0neutria呢? 如果你對巴西的蜘蛛有了解的話,你一定聽過一種被稱為“Phoneutria nigriventer”(外文名Brazillian Wandering Spider)的巴西遊走蜘蛛。這種蜘蛛在2007年世界吉尼斯記錄書上,被譽為是世界上最毒的動物。其爬行的速度極快,它們的腿強壯而帶有尖刺,他們擁有與眾不同的紅色螯肢,會在憤怒時將他們展露出來。詳見:
來源
URL feeds:
Malc0de
Malshare
VX Vault
OSINT。如果需要,被動DNS將被用於生成一個域的最新IP列表,並會透過VirusTotal查詢與IP相關的最新URL。注意,一次只能查詢一個源,不要超過VirusTotal API的請求限制範圍。從每個源獲取到的URL列表都將由evenshtein distance(萊文斯坦距離)過濾,以減少相似專案的數量,在他們自己的執行緒中進行處理。
AlienVault OTX
CyberCrime Tracker
DNS-BH
Payload Security (Hybrid Analysis)
Shodan
ThreatExpert
截圖
版本說明
0.6.0: Tor代理需要pysocks(pip install pysocks)以及至少版本不低於2.10.0的python requests,以支援SOCKS
理。
0.9.0: 從Phage Malware Tracker(私有專案)中提取的OSINT功能 – 需要VirusTotal API金鑰。更強大的野外檔案檢索能力。本地URL和雜湊快取(以減少API負載)。
0.9.1: 已更新使用V3 Viper API,不再相容V2。
安裝
以下指令碼將為我們安裝ph0neutria,Viper以及Tor:
wget chmod +x install.sh sudo ./install.sh
可選
配置額外的ClamAV簽名:
cd /tmp git clone cp clamav-unofficial-sigs.sh /usr/local/bin chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh mkdir /etc/clamav-unofficial-sigs cp config/ /etc/clamav-unofficial-sigs cd /etc/clamav-unofficial-sigs*
重新命名os.<yourdistro>.conf為os.conf:
mv os.ubuntu.conf os.conf
修改配置檔案:
master.conf: 搜尋“Enabled Databases”並啟用/禁用所需的源。
user.conf: 取消已啟用源所需行的註釋。user.conf覆蓋master.conf。完成以下命令的設定後,你必須將user_configuration_complete=”yes”的註釋取消才能使配置生效。
有關更多配置資訊,請參閱:
mkdir /var/log/clamav-unofficial-sigs clamav-unofficial-sigs.sh --install-cron clamav-unofficial-sigs.sh --install-logrotate clamav-unofficial-sigs.sh --install-man clamav-unofficial-sigs.shcd /tmp/clamav-unofficial-sigs cp systemd/* /etc/systemdcd .. rm -rf clamav-unofficial-sigs
這個過程可能需要等待一段時間 – 在此期間ClamAV可能無法使用。
使用
在使用的過程中,大家務必要做自身的保護工作:
在沒有其它可用匿名VPN的情況下,切勿禁用Tor。
在隔離網路和專用硬體上執行。
在合適的沙箱中執行樣本(請參閱: )。
監控你的API金鑰是否存在濫用的情況。
確保Tor已啟動:
service tor restart
啟動Viper API和Web介面:
cd /opt/viper sudo -H -u spider python viper-web
記下Viper啟動時建立的管理員密碼。使用此命令格式登入 IP>:<viper port>/admin(預設為: )並從Tokens頁面中檢索API token。
Viper web介面地址: IP>:<viper port> (預設: )。
完整的配置檔案在:/opt/ph0neutria/config/settings.conf
啟動 ph0neutria:
cd /opt/ph0neutria sudo -H -u spider python run.py
你可以隨時按Ctrl+C來終止執行,你也可以隨時啟動它。
如果你希望每天都執行一次,可以在/etc/cron.daily中建立以下指令碼:
#!/bin/bashcd /opt/ph0neutria && sudo -H -u spider python run.py
已知問題
Viper標籤將被強制轉換為小寫(透過Viper)。如果你覺得不習慣的話,那麼你可以在viper/viper/core/database.py中將所有出現的.lower()刪除即可。
參考
- MalShare API 文件
- Viper API 文件
https://developers.virustotal.com/v2.0/reference - VirusTotal API 文件
- Payload Security API 文件
- AlienVault OTX API 文件
本文轉載自:FreeBuf.COM,原文由 FB 小編 secist 編譯
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2168818/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Docker化自動採集&模擬惡意軟體環境Docker
- 如何設定自己的Dionaea蜜罐來收集惡意軟體樣本
- 如何搭建一套自己的蜜罐系統來收集惡意軟體樣本
- 在野外發現隱匿在微軟SQL Server中的首個惡意軟體後門微軟SQLServer
- 動態惡意軟體分析工具介紹
- 新型 ATM 惡意軟體 ATMJackpot 出現,專家預測即將在野外現身
- 從SharPersist思考惡意軟體持久化檢測持久化
- 美國網路司令部昨日再次分享七個新惡意軟體樣本
- 0day漏洞組合拳:詳細分析一款惡意PDF樣本
- win10系統自帶的惡意軟體清理工具如何使用_win10系統惡意軟體清理工具的使用教程Win10
- 有什麼批次採集影片素材的軟體?大佬都是這樣採集素材的
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux
- Zero Access惡意軟體分析
- 怎麼樣解決macOS遭遇惡意軟體入侵問題Mac
- 惡意程式碼分析之行為分析及樣本收集
- 惡意軟體Emotet 的新攻擊方法
- 黑客工具可將惡意軟體隱藏於.Net框架黑客框架
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- 惡意軟體PE檔案重建指南
- 隱藏在xml檔案中的惡意軟體XML
- 新型惡意軟體入侵近3萬臺Mac,蘋果採取應對措施Mac蘋果
- 淘寶新店採集軟體當天新開店鋪採集器 新店抓取工具
- TrickBot和Emotet再奪惡意軟體之冠
- 【筆記】【THM】Malware Analysis(惡意軟體分析)筆記
- 惡意軟體開發-初級-Sektor 7
- 常見惡意軟體型別及危害型別
- 抖店商家電話採集軟體 抖音小店店鋪電話批次採集工具
- 惡意軟體開發——記憶體相關API記憶體API
- 微軟發現惡意 npm 軟體包,可從 UNIX 系統竊取資料微軟NPM
- 針對資訊竊取惡意軟體AZORult的分析
- Facebook季度安全報告:假冒ChatGPT的惡意軟體激增ChatGPT
- 阻止惡意軟體和網路攻擊的基本方式
- OS X那些事---惡意軟體是如何啟動的?
- Qealler - 一個用Java編寫的惡意病毒軟體Java
- 最新 Mac 惡意軟體 OSX/CrescentCore 被發現Mac
- Trickbot惡意軟體又又又升級了!
- 記憶體安全週報第27期 | 惡意軟體使用 Ezuri加密工具逃避檢測記憶體加密