如何設定自己的Dionaea蜜罐來收集惡意軟體樣本

IT168GB發表於2018-07-31
原文網址 : http://blog.itpub.net/31510736/viewspace-2168819/

簡介

許多安全人員都熱衷於惡意軟體的逆向工程。在本文中我將教大家設定一個自己的Dionaea蜜罐,來協助我們惡意軟體樣本的收集工作。

本文將主要討論在Amazon Web Services(AWS)上的蜜罐設定步驟。如果你並不熟悉AWS,則我建議你可以先去對AWS做個基本的瞭解,這樣會更有利於你的理解。需要提醒大家的是,如果你有一個硬碟空間小於50GB的微型例項,你將獲取到一個免費的伺服器。但你必須提供你的信用卡資訊給AWS,只要你保持在免費限額內就可以永久的免費使用它。你也可以啟動n個微型例項,但要注意即便這樣你也只能獲得一個月的小時數。例如你將兩個微型例項分開,每個只能分配一半,而且一旦超額就將被收費。這一點大家一定要注意!

FB百科

Dionaea是一款低互動式蜜罐,是Honeynet Project 的開源專案。Dionaea 蜜罐的設計目的是誘捕惡意攻擊,獲取惡意攻擊會話與惡意程式碼程式樣本。它透過模擬各種常見服務,捕獲對服務的攻擊資料,記錄攻擊源和目標 IP、埠、協議型別等資訊,以及完整的網路會話過程,自動分析其中可能包含的shellcode及其中的函式呼叫和下載檔案,並獲取惡意程式。

所需技能

瞭解常用的Linux命令

對網路知識具有一定的理解

伺服器

伺服器(強烈推薦AWS,免費提供w/ CC)

免責宣告(可選)

一些託管服務提供商並不喜歡惡意軟體。因此,他們可能也不會允許你在他們的伺服器上收集惡意軟體樣本。

AWS設定

現在我們開始設定AWS例項。(如果您未使用AWS,請跳至下一部分)

1.單擊EC2並建立新例項(EC2 == AWS Servers)。之後,選擇Ubuntu Server 14.04 LTS。

1e0080242be3ccde8ecd7f7c9497ddf9f0b653c8e_1_689x281.png

2.然後,選擇微型例項型別。

2d024f857936745df70cdca0409e3a5d7ef395078_1_690x371.png

3.很好,對於Configure Instance Details步驟,選擇“Auto-assign Public IP”項,並將其設定為“Enable”。

3a5296022a67526e77ad86d9d54fe8baf1652f9a2_1_690x387.png

4.對於儲存配置,只需新增預設值並單擊“Next”即可。

5.在新增標籤中我們直接單擊”Next”。

6.預設情況下,AWS僅開放了SSH埠。因此,我們必須更改此設定,讓伺服器開放所有埠。雖然這麼做很不安全,但這是本文當中的一個重點。

43a0ab2196c789006f47287498947774ad5db95e6_1_690x385.png

7.啟動

576cca5a1f6f2529e4a6ac4b4b651fade3055f7db_1_690x386.png

8.這部分可能會有點複雜。透過SSH連線到你的伺服器例項,更改私鑰(something.pem)的許可權,以便ssh可以使用它。從你的例項獲取你的主機名。其通常位於Public DNS (IPv4 )下

640a901e351ff791fc1eb6e3ee440fe1f4744b383_1_690x317.png

在本地輸入以下命令,連線AWS伺服器 

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

伺服器設定

讓我們來更新下軟體包,命令如下: 

$ sudo su# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

依賴項安裝: 

# apt-get install git -y
# git clone 
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的,現在的位置是配置檔案dionaea.cfg所在位置。

該檔案用於指定你的惡意軟體/二進位制檔案的位置,以及偵聽的介面和埠。你可以保留這些預設值,但請記住,日誌檔案會變大。 就比如我惡意軟體大約1個G但卻有19G的日誌。

7e508bcffd303ecc7a237f95e9109cafa82b160d4_1_690x341.png

Dionaea有許多不同的服務,可以讓你的蜜罐對更多型別的攻擊開放。因此,你會收集到更多的惡意軟體。我們可以透過services-available和services-enabled目錄來切換這些設定。透過編輯各個yaml檔案,可以編輯服務以及它對駭客/機器人的顯示方式。例如想受到SMB攻擊,比如…… WannaCry,則你需要設定你的伺服器以接受smb。 

# vim services-enabled/smb.yaml

如果要啟用預設的Windows 7設定,只需取消Win7註釋符即可。其它的也一樣,我就不多說了!

85811c1a5532fa9e072a62a46c3d34c2dba3999ab_1_690x387.png

最後,我們來執行我們的蜜罐。 

# /opt/dionaea/bin/dionaea -D

9c6d743e1a449250b729fceacde58522e583ec58d_1_690x266.png

總結

說實話,第一次設定並執行dionaea著實花了我不少的時間。而第二次嘗試我僅用了16分鐘。如果在此過程中,你遇到了一些自己沒法解決的問題,請嘗試翻閱他們的官方文件( ),或在相關的技術論壇提問以尋求解決方案。

本文轉載自: FreeBuf.COM ,原文由 FB小編 secist 編譯

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2168819/,如需轉載,請註明出處,否則將追究法律責任。

相關文章