如何設(shè)置自己的Dionaea蜜罐來收集惡意軟件樣本-創(chuàng)新互聯(lián)

簡(jiǎn)介

許多安全人員都熱衷于惡意軟件的逆向工程。在本文中我將教大家設(shè)置一個(gè)自己的Dionaea蜜罐，來協(xié)助我們惡意軟件樣本的收集工作。

目前成都創(chuàng)新互聯(lián)公司已為上千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、河北網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

本文將主要討論在Amazon Web Services（AWS）上的蜜罐設(shè)置步驟。如果你并不熟悉AWS，則我建議你可以先去對(duì)AWS做個(gè)基本的了解，這樣會(huì)更有利于你的理解。需要提醒大家的是，如果你有一個(gè)硬盤空間小于50GB的微型實(shí)例，你將獲取到一個(gè)免費(fèi)的服務(wù)器。但你必須提供你的信用卡信息給AWS，只要你保持在免費(fèi)限額內(nèi)就可以永久的免費(fèi)使用它。你也可以啟動(dòng)n個(gè)微型實(shí)例，但要注意即便這樣你也只能獲得一個(gè)月的小時(shí)數(shù)。例如你將兩個(gè)微型實(shí)例分開，每個(gè)只能分配一半，而且一旦超額就將被收費(fèi)。這一點(diǎn)大家一定要注意！

FB百科

Dionaea是一款低交互式蜜罐，是Honeynet Project 的開源項(xiàng)目。Dionaea 蜜罐的設(shè)計(jì)目的是誘捕惡意攻擊，獲取惡意攻擊會(huì)話與惡意代碼程序樣本。它通過模擬各種常見服務(wù)，捕獲對(duì)服務(wù)的攻擊數(shù)據(jù)，記錄攻擊源和目標(biāo) IP、端口、協(xié)議類型等信息，以及完整的網(wǎng)絡(luò)會(huì)話過程，自動(dòng)分析其中可能包含的shellcode及其中的函數(shù)調(diào)用和下載文件，并獲取惡意程序。

所需技能

了解常用的Linux命令

對(duì)網(wǎng)絡(luò)知識(shí)具有一定的理解

服務(wù)器

服務(wù)器（強(qiáng)烈推薦AWS，免費(fèi)提供w/ CC）

免責(zé)聲明（可選）

一些托管服務(wù)提供商并不喜歡惡意軟件。因此，他們可能也不會(huì)允許你在他們的服務(wù)器上收集惡意軟件樣本。

AWS設(shè)置

現(xiàn)在我們開始設(shè)置AWS實(shí)例。（如果您未使用AWS，請(qǐng)?zhí)料乱徊糠郑?/p>

1.單擊EC2并創(chuàng)建新實(shí)例（EC2 == AWS Servers）。之后，選擇Ubuntu Server 14.04 LTS。

2.然后，選擇微型實(shí)例類型。

3.很好，對(duì)于Configure Instance Details步驟，選擇“Auto-assign Public IP”項(xiàng)，并將其設(shè)置為“Enable”。

4.對(duì)于存儲(chǔ)配置，只需添加默認(rèn)值并單擊“Next”即可。

5.在添加標(biāo)簽中我們直接單擊”Next”。

6.默認(rèn)情況下，AWS僅開放了SSH端口。因此，我們必須更改此設(shè)置，讓服務(wù)器開放所有端口。雖然這么做很不安全，但這是本文當(dāng)中的一個(gè)重點(diǎn)。

7.啟動(dòng)

8.這部分可能會(huì)有點(diǎn)復(fù)雜。通過SSH連接到你的服務(wù)器實(shí)例，更改私鑰（something.pem）的權(quán)限，以便ssh可以使用它。從你的實(shí)例獲取你的主機(jī)名。其通常位于Public DNS (IPv4 )下

在本地輸入以下命令，連接AWS服務(wù)器

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

服務(wù)器設(shè)置

讓我們來更新下軟件包，命令如下：

$ sudo su# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

依賴項(xiàng)安裝：

# apt-get install git -y
# git clone https://github.com/DinoTools/dionaea 19
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的，現(xiàn)在的位置是配置文件dionaea.cfg所在位置。

該文件用于指定你的惡意軟件/二進(jìn)制文件的位置，以及偵聽的接口和端口。你可以保留這些默認(rèn)值，但請(qǐng)記住，日志文件會(huì)變大。 就比如我惡意軟件大約1個(gè)G但卻有19G的日志。

Dionaea有許多不同的服務(wù)，可以讓你的蜜罐對(duì)更多類型的攻擊開放。因此，你會(huì)收集到更多的惡意軟件。我們可以通過services-available和services-enabled目錄來切換這些設(shè)置。通過編輯各個(gè)yaml文件，可以編輯服務(wù)以及它對(duì)黑客/機(jī)器人的顯示方式。例如想受到SMB攻擊，比如…… WannaCry，則你需要設(shè)置你的服務(wù)器以接受smb。

# vim services-enabled/smb.yaml

如果要啟用默認(rèn)的Windows 7設(shè)置，只需取消Win7注釋符即可。其它的也一樣，我就不多說了！

最后，我們來運(yùn)行我們的蜜罐。

# /opt/dionaea/bin/dionaea -D

總結(jié)

說實(shí)話，第一次設(shè)置并運(yùn)行dionaea著實(shí)花了我不少的時(shí)間。而第二次嘗試我僅用了16分鐘。如果在此過程中，你遇到了一些自己沒法解決的問題，請(qǐng)嘗試翻閱他們的官方文檔（ https://dionaea.readthedocs.io/en/latest/run.html ），或在相關(guān)的技術(shù)論壇提問以尋求解決方案。

本文轉(zhuǎn)載自： FreeBuf.COM ,原文由 FB小編 secist 編譯

網(wǎng)站題目：如何設(shè)置自己的Dionaea蜜罐來收集惡意軟件樣本-創(chuàng)新互聯(lián)
文章URL：http://muchs.cn/article42/ddsihc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、建站公司、企業(yè)建站、軟件開發(fā)、網(wǎng)站營(yíng)銷、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)