溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
ph0neutria是一個直接從野外采集惡意軟件樣本的工具。并且其所有采集的內容都將被存儲在Viper中,以便于訪問和管理。
該項目的靈感來源于 Ragpicker (一款惡意軟件爬蟲工具)。而相比之下,ph0neutria的優勢主要體現在以下幾點:
將爬取的范圍限制為僅經常更新且可靠的來源。
最大化個別指標的有效性。
提供單一可靠且組織良好的存儲機制。
不做Viper可以完成的工作。
那么為什么將該工具命名為ph0neutria呢? 如果你對巴西的蜘蛛有了解的話,你一定聽過一種被稱為“Phoneutria nigriventer”(外文名Brazillian Wandering Spider)的巴西游走蜘蛛。這種蜘蛛在2007年世界吉尼斯記錄書上,被譽為是世界上最毒的動物。其爬行的速度極快,它們的腿強壯而帶有尖刺,他們擁有與眾不同的紅色螯肢,會在憤怒時將他們展露出來。詳見: https://en.wikipedia.org/wiki/Brazilian_wandering_spider
URL feeds:
Malc0de
Malshare
VX Vault
OSINT。如果需要,被動DNS將被用于生成一個域的最新IP列表,并會通過VirusTotal查找與IP相關的最新URL。注意,一次只能查詢一個源,不要超過VirusTotal API的請求限制范圍。從每個源獲取到的URL列表都將由evenshtein distance(萊文斯坦距離)過濾,以減少相似項目的數量,在他們自己的線程中進行處理。
AlienVault OTX
CyberCrime Tracker
DNS-BH
Payload Security (Hybrid Analysis)
Shodan
ThreatExpert
0.6.0: Tor代理需要pysocks(pip install pysocks)以及至少版本不低于2.10.0的python requests,以支持SOCKS
理。
0.9.0: 從Phage Malware Tracker(私有項目)中提取的OSINT功能 – 需要VirusTotal API密鑰。更強大的野外文件檢索能力。本地URL和哈希緩存(以減少API負載)。
0.9.1: 已更新使用V3 Viper API,不再兼容V2。
以下腳本將為我們安裝ph0neutria,Viper以及Tor:
wget https://raw.githubusercontent.com/phage-nz/ph0neutria/master/install.sh chmod +x install.sh sudo ./install.sh
配置額外的ClamAV簽名:
cd /tmp git clone https://github.com/extremeshok/clamav-unofficial-sigscd clamav-unofficial-sigs cp clamav-unofficial-sigs.sh /usr/local/bin chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh mkdir /etc/clamav-unofficial-sigs cp config/ /etc/clamav-unofficial-sigs cd /etc/clamav-unofficial-sigs*
重命名os.<yourdistro>.conf為os.conf:
mv os.ubuntu.conf os.conf
修改配置文件:
master.conf: 搜索“Enabled Databases”并啟用/禁用所需的源。
user.conf: 取消已啟用源所需行的注釋。user.conf覆蓋master.conf。完成以下命令的設置后,你必須將user_configuration_complete=”yes”的注釋取消才能使配置生效。
有關更多配置信息,請參閱: https://github.com/extremeshok/clamav-unofficial-sigs
mkdir /var/log/clamav-unofficial-sigs clamav-unofficial-sigs.sh --install-cron clamav-unofficial-sigs.sh --install-logrotate clamav-unofficial-sigs.sh --install-man clamav-unofficial-sigs.shcd /tmp/clamav-unofficial-sigs cp systemd/* /etc/systemdcd .. rm -rf clamav-unofficial-sigs
這個過程可能需要等待一段時間 – 在此期間ClamAV可能無法使用。
在使用的過程中,大家務必要做自身的保護工作:
在沒有其它可用匿名VPN的情況下,切勿禁用Tor。
在隔離網絡和專用硬件上運行。
在合適的沙箱中執行樣本(請參閱: https://github.com/phage-nz/malware-hunting/tree/master/sandbox )。
監控你的API密鑰是否存在濫用的情況。
確保Tor已啟動:
service tor restart
啟動Viper API和Web界面:
cd /opt/viper sudo -H -u spider python viper-web
記下Viper啟動時創建的管理員密碼。使用此命令格式登錄http://<viper IP>:<viper port>/admin(默認為: http://127.0.0.1:8080/admin )并從Tokens頁面中檢索API token。
Viper web界面地址:http://<viper IP>:<viper port> (默認: http://127.0.0.1:8080 )。
完整的配置文件在:/opt/ph0neutria/config/settings.conf
啟動 ph0neutria:
cd /opt/ph0neutria sudo -H -u spider python run.py
你可以隨時按Ctrl+C來終止運行,你也可以隨時啟動它。
如果你希望每天都運行一次,可以在/etc/cron.daily中創建以下腳本:
#!/bin/bashcd /opt/ph0neutria && sudo -H -u spider python run.py
已知問題
Viper標簽將被強制轉換為小寫(通過Viper)。如果你覺得不習慣的話,那么你可以在viper/viper/core/database.py中將所有出現的.lower()刪除即可。
參考
http://malshare.com/doc.php - MalShare API 文檔
http://viper-framework.readthedocs.io/en/latest/usage/web.html - Viper API 文檔
https://developers.virustotal.com/v2.0/reference - VirusTotal API 文檔
https://www.hybrid-analysis.com/apikeys/info - Payload Security API 文檔
https://otx.alienvault.com/api - AlienVault OTX API 文檔
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
