Ph0neutria：一款從野外採集惡意軟體樣本的工具

ph0neutria是一個直接從野外採集惡意軟體樣本的工具。並且其所有采集的內容都將被儲存在Viper中，以便於訪問和管理。

該專案的靈感來源於 （一款惡意軟體爬蟲工具）。而相比之下，ph0neutria的優勢主要體現在以下幾點：

將爬取的範圍限制為僅經常更新且可靠的來源。

最大化個別指標的有效性。

提供單一可靠且組織良好的儲存機制。

不做Viper可以完成的工作。

那麼為什麼將該工具命名為ph0neutria呢？ 如果你對巴西的蜘蛛有了解的話，你一定聽過一種被稱為“Phoneutria nigriventer”（外文名Brazillian Wandering Spider）的巴西遊走蜘蛛。這種蜘蛛在2007年世界吉尼斯記錄書上，被譽為是世界上最毒的動物。其爬行的速度極快，它們的腿強壯而帶有尖刺，他們擁有與眾不同的紅色螯肢，會在憤怒時將他們展露出來。詳見：

來源

URL feeds:

Malc0de

Malshare

VX Vault

OSINT。如果需要，被動DNS將被用於生成一個域的最新IP列表，並會透過VirusTotal查詢與IP相關的最新URL。注意，一次只能查詢一個源，不要超過VirusTotal API的請求限制範圍。從每個源獲取到的URL列表都將由evenshtein distance（萊文斯坦距離）過濾，以減少相似專案的數量，在他們自己的執行緒中進行處理。

AlienVault OTX

CyberCrime Tracker

DNS-BH

Payload Security (Hybrid Analysis)

Shodan

ThreatExpert

截圖

版本說明

0.6.0： Tor代理需要pysocks（pip install pysocks）以及至少版本不低於2.10.0的python requests，以支援SOCKS

理。

0.9.0： 從Phage Malware Tracker（私有專案）中提取的OSINT功能 – 需要VirusTotal API金鑰。更強大的野外檔案檢索能力。本地URL和雜湊快取（以減少API負載）。

0.9.1： 已更新使用V3 Viper API，不再相容V2。

安裝

以下指令碼將為我們安裝ph0neutria，Viper以及Tor：

wget 
chmod +x install.sh
sudo ./install.sh

可選

配置額外的ClamAV簽名：

cd /tmp
git clone 
cp clamav-unofficial-sigs.sh /usr/local/bin
chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh
mkdir /etc/clamav-unofficial-sigs
cp config/ /etc/clamav-unofficial-sigs
cd /etc/clamav-unofficial-sigs*

重新命名os.<yourdistro>.conf為os.conf：

mv os.ubuntu.conf os.conf

修改配置檔案：

master.conf： 搜尋“Enabled Databases”並啟用/禁用所需的源。

user.conf： 取消已啟用源所需行的註釋。user.conf覆蓋master.conf。完成以下命令的設定後，你必須將user_configuration_complete=”yes”的註釋取消才能使配置生效。

有關更多配置資訊，請參閱：

mkdir /var/log/clamav-unofficial-sigs
clamav-unofficial-sigs.sh --install-cron
clamav-unofficial-sigs.sh --install-logrotate
clamav-unofficial-sigs.sh --install-man
clamav-unofficial-sigs.shcd /tmp/clamav-unofficial-sigs
cp systemd/* /etc/systemdcd ..
rm -rf clamav-unofficial-sigs

這個過程可能需要等待一段時間 – 在此期間ClamAV可能無法使用。

使用

在使用的過程中，大家務必要做自身的保護工作：

在沒有其它可用匿名VPN的情況下，切勿禁用Tor。

在隔離網路和專用硬體上執行。

在合適的沙箱中執行樣本（請參閱： ）。

監控你的API金鑰是否存在濫用的情況。

確保Tor已啟動：

service tor restart

啟動Viper API和Web介面：

cd /opt/viper
sudo -H -u spider python viper-web

記下Viper啟動時建立的管理員密碼。使用此命令格式登入 IP>:<viper port>/admin（預設為： ）並從Tokens頁面中檢索API token。

Viper web介面地址： IP>:<viper port> (預設： )。

完整的配置檔案在：/opt/ph0neutria/config/settings.conf

啟動 ph0neutria：

cd /opt/ph0neutria
sudo -H -u spider python run.py

你可以隨時按Ctrl+C來終止執行，你也可以隨時啟動它。

如果你希望每天都執行一次，可以在/etc/cron.daily中建立以下指令碼：

#!/bin/bashcd /opt/ph0neutria && sudo -H -u spider python run.py

已知問題

Viper標籤將被強制轉換為小寫（透過Viper）。如果你覺得不習慣的話，那麼你可以在viper/viper/core/database.py中將所有出現的.lower()刪除即可。

參考

 - MalShare API 文件

 - Viper API 文件

https://developers.virustotal.com/v2.0/reference  - VirusTotal API 文件

 - Payload Security API 文件

 - AlienVault OTX API 文件

本文轉載自：FreeBuf.COM，原文由 FB 小編 secist 編譯