如何设置自己的Dionaea蜜罐来收集恶意软件样本
source link: http://www.freebuf.com/articles/system/177577.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
简介
许多安全人员都热衷于恶意软件的逆向工程。在本文中我将教大家设置一个自己的Dionaea蜜罐,来协助我们恶意软件样本的收集工作。
本文将主要讨论在Amazon Web Services(AWS)上的蜜罐设置步骤。如果你并不熟悉AWS,则我建议你可以先去对AWS做个基本的了解,这样会更有利于你的理解。需要提醒大家的是,如果你有一个硬盘空间小于50GB的微型实例,你将获取到一个免费的服务器。但你必须提供你的信用卡信息给AWS,只要你保持在免费限额内就可以永久的免费使用它。你也可以启动n个微型实例,但要注意即便这样你也只能获得一个月的小时数。例如你将两个微型实例分开,每个只能分配一半,而且一旦超额就将被收费。这一点大家一定要注意!
FB百科
Dionaea是一款低交互式蜜罐,是Honeynet Project 的开源项目。Dionaea 蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。它通过模拟各种常见服务,捕获对服务的攻击数据,记录攻击源和目标 IP、端口、协议类型等信息,以及完整的网络会话过程,自动分析其中可能包含的shellcode及其中的函数调用和下载文件,并获取恶意程序。
所需技能
了解常用的Linux命令
对网络知识具有一定的理解
服务器
服务器(强烈推荐AWS,免费提供w/ CC)
免责声明(可选)
一些托管服务提供商并不喜欢恶意软件。因此,他们可能也不会允许你在他们的服务器上收集恶意软件样本。
AWS设置
现在我们开始设置AWS实例。(如果您未使用AWS,请跳至下一部分)
1.单击EC2并创建新实例(EC2 == AWS Servers)。之后,选择Ubuntu Server 14.04 LTS。
2.然后,选择微型实例类型。
3.很好,对于Configure Instance Details步骤,选择“Auto-assign Public IP”项,并将其设置为“Enable”。
4.对于存储配置,只需添加默认值并单击“Next”即可。
5.在添加标签中我们直接单击”Next”。
6.默认情况下,AWS仅开放了SSH端口。因此,我们必须更改此设置,让服务器开放所有端口。虽然这么做很不安全,但这是本文当中的一个重点。
7.启动
8.这部分可能会有点复杂。通过SSH连接到你的服务器实例,更改私钥(something.pem)的权限,以便ssh可以使用它。从你的实例获取你的主机名。其通常位于Public DNS (IPv4 )下
在本地输入以下命令,连接AWS服务器
$ sudo chmod 400 /home/user/Downloads/key.pem $ ssh -i /home/user/Downloads/key.pem [email protected]
服务器设置
让我们来更新下软件包,命令如下:
$ sudo su # apt-get update; apt-get upgrade -y; apt-get dist-upgrade;
依赖项安装:
# apt-get install git -y # git clone https://github.com/DinoTools/dionaea 19 # apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation # mkdir build # cd build # cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea … # make # make install # cd /opt/dionaea/
好的,现在的位置是配置文件dionaea.cfg所在位置。
该文件用于指定你的恶意软件/二进制文件的位置,以及侦听的接口和端口。你可以保留这些默认值,但请记住,日志文件会变大。 就比如我恶意软件大约1个G但却有19G的日志。
Dionaea有许多不同的服务,可以让你的蜜罐对更多类型的攻击开放。因此,你会收集到更多的恶意软件。我们可以通过services-available和services-enabled目录来切换这些设置。通过编辑各个yaml文件,可以编辑服务以及它对黑客/机器人的显示方式。例如想受到SMB攻击,比如…… WannaCry,则你需要设置你的服务器以接受smb。
# vim services-enabled/smb.yaml
如果要启用默认的Windows 7设置,只需取消Win7注释符即可。其它的也一样,我就不多说了!
最后,我们来运行我们的蜜罐。
# /opt/dionaea/bin/dionaea -D
总结
说实话,第一次设置并运行dionaea着实花了我不少的时间。而第二次尝试我仅用了16分钟。如果在此过程中,你遇到了一些自己没法解决的问题,请尝试翻阅他们的官方文档( https://dionaea.readthedocs.io/en/latest/run.html ),或在相关的技术论坛提问以寻求解决方案。
*参考来源: 0x00sec , FB小编 secist 编译,转载请注明来自FreeBuf.COM
Recommend
-
64
访问的文章审核中... - FreeBuf网络安全行业门户 user 形状结合 怀...
-
12
Dionaea蜜罐指南 我是壮丁 ·...
-
3
Dionaea低交互式蜜罐部署详解 Eoh ·
-
47
-
29
【TechWeb】7月24日消息,据海淀法院网消息,因认为58同城违法收集其客户信息,获取其大量的客户资源及相应的交易利润,造成其高额利益损失,北京迁喜搬家有限公司以不正当竞争纠纷为由将58同城网站运营方北京五八信息技术有限公司诉至法院,要求5...
-
38
*本文作者:枫夜丶,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 这几年随着威胁情报的成熟,蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络...
-
53
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了...
-
55
*本文作者:lonely_wind,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 一、前言 随着新型的APT攻击的出现,很多企业意识到传统安全技术手段已经无法满足对内部威胁的及时发现,而蜜罐由于其天然的特性–因为蜜罐...
-
3
如何通过云蜜罐揭示网络攻击者的策略 作者:D1net编译 2023-06-29 14:19:21 Orca Security公司创建的每个云蜜罐都包含一个AWS密钥,然后对它们进行监控,测试网络攻击者是否以及何时会上钩,以了解哪些云计算服务...
-
1
如何通过云蜜罐揭示网络攻击者的策略 责任编辑:cres 作者:D1net编译 | 2023-06-29 14:03:32 原创文章 企业网D1Net 云安全服务提供商Orca Security公司日前表示,网络攻击者通常能够在两分钟内发现...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK