溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
許多安全人員都熱衷于惡意軟件的逆向工程。在本文中我將教大家設置一個自己的Dionaea蜜罐,來協助我們惡意軟件樣本的收集工作。
本文將主要討論在Amazon Web Services(AWS)上的蜜罐設置步驟。如果你并不熟悉AWS,則我建議你可以先去對AWS做個基本的了解,這樣會更有利于你的理解。需要提醒大家的是,如果你有一個硬盤空間小于50GB的微型實例,你將獲取到一個免費的服務器。但你必須提供你的信用卡信息給AWS,只要你保持在免費限額內就可以永久的免費使用它。你也可以啟動n個微型實例,但要注意即便這樣你也只能獲得一個月的小時數。例如你將兩個微型實例分開,每個只能分配一半,而且一旦超額就將被收費。這一點大家一定要注意!
Dionaea是一款低交互式蜜罐,是Honeynet Project 的開源項目。Dionaea 蜜罐的設計目的是誘捕惡意攻擊,獲取惡意攻擊會話與惡意代碼程序樣本。它通過模擬各種常見服務,捕獲對服務的攻擊數據,記錄攻擊源和目標 IP、端口、協議類型等信息,以及完整的網絡會話過程,自動分析其中可能包含的shellcode及其中的函數調用和下載文件,并獲取惡意程序。
了解常用的Linux命令
對網絡知識具有一定的理解
服務器(強烈推薦AWS,免費提供w/ CC)
一些托管服務提供商并不喜歡惡意軟件。因此,他們可能也不會允許你在他們的服務器上收集惡意軟件樣本。
現在我們開始設置AWS實例。(如果您未使用AWS,請跳至下一部分)
1.單擊EC2并創建新實例(EC2 == AWS Servers)。之后,選擇Ubuntu Server 14.04 LTS。
2.然后,選擇微型實例類型。
3.很好,對于Configure Instance Details步驟,選擇“Auto-assign Public IP”項,并將其設置為“Enable”。
4.對于存儲配置,只需添加默認值并單擊“Next”即可。
5.在添加標簽中我們直接單擊”Next”。
6.默認情況下,AWS僅開放了SSH端口。因此,我們必須更改此設置,讓服務器開放所有端口。雖然這么做很不安全,但這是本文當中的一個重點。
7.啟動
8.這部分可能會有點復雜。通過SSH連接到你的服務器實例,更改私鑰(something.pem)的權限,以便ssh可以使用它。從你的實例獲取你的主機名。其通常位于Public DNS (IPv4 )下
在本地輸入以下命令,連接AWS服務器
$ sudo chmod 400 /home/user/Downloads/key.pem $ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com
讓我們來更新下軟件包,命令如下:
$ sudo su# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;
依賴項安裝:
# apt-get install git -y # git clone https://github.com/DinoTools/dionaea 19 # apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation # mkdir build # cd build # cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea … # make # make install # cd /opt/dionaea/
好的,現在的位置是配置文件dionaea.cfg所在位置。
該文件用于指定你的惡意軟件/二進制文件的位置,以及偵聽的接口和端口。你可以保留這些默認值,但請記住,日志文件會變大。 就比如我惡意軟件大約1個G但卻有19G的日志。
Dionaea有許多不同的服務,可以讓你的蜜罐對更多類型的攻擊開放。因此,你會收集到更多的惡意軟件。我們可以通過services-available和services-enabled目錄來切換這些設置。通過編輯各個yaml文件,可以編輯服務以及它對黑客/機器人的顯示方式。例如想受到SMB攻擊,比如…… WannaCry,則你需要設置你的服務器以接受smb。
# vim services-enabled/smb.yaml
如果要啟用默認的Windows 7設置,只需取消Win7注釋符即可。其它的也一樣,我就不多說了!
最后,我們來運行我們的蜜罐。
# /opt/dionaea/bin/dionaea -D
說實話,第一次設置并運行dionaea著實花了我不少的時間。而第二次嘗試我僅用了16分鐘。如果在此過程中,你遇到了一些自己沒法解決的問題,請嘗試翻閱他們的官方文檔( https://dionaea.readthedocs.io/en/latest/run.html ),或在相關的技術論壇提問以尋求解決方案。
本文轉載自: FreeBuf.COM ,原文由 FB小編 secist 編譯
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
