专栏首页FreeBuf如何设置自己的Dionaea蜜罐来收集恶意软件样本

如何设置自己的Dionaea蜜罐来收集恶意软件样本

简介

许多安全人员都热衷于恶意软件的逆向工程。在本文中我将教大家设置一个自己的Dionaea蜜罐,来协助我们恶意软件样本的收集工作。

本文将主要讨论在Amazon Web Services(AWS)上的蜜罐设置步骤。如果你并不熟悉AWS,则我建议你可以先去对AWS做个基本的了解,这样会更有利于你的理解。需要提醒大家的是,如果你有一个硬盘空间小于50GB的微型实例,你将获取到一个免费的服务器。但你必须提供你的信用卡信息给AWS,只要你保持在免费限额内就可以永久的免费使用它。你也可以启动n个微型实例,但要注意即便这样你也只能获得一个月的小时数。例如你将两个微型实例分开,每个只能分配一半,而且一旦超额就将被收费。这一点大家一定要注意!

FB百科

Dionaea是一款低交互式蜜罐,是Honeynet Project 的开源项目。Dionaea 蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。它通过模拟各种常见服务,捕获对服务的攻击数据,记录攻击源和目标 IP、端口、协议类型等信息,以及完整的网络会话过程,自动分析其中可能包含的shellcode及其中的函数调用和下载文件,并获取恶意程序。

所需技能

了解常用的Linux命令 对网络知识具有一定的理解

服务器

服务器(强烈推荐AWS,免费提供w/ CC)

免责声明(可选)

一些托管服务提供商并不喜欢恶意软件。因此,他们可能也不会允许你在他们的服务器上收集恶意软件样本。

AWS设置

现在我们开始设置AWS实例。(如果您未使用AWS,请跳至下一部分)

1.单击EC2并创建新实例(EC2 == AWS Servers)。之后,选择Ubuntu Server 14.04 LTS。

2.然后,选择微型实例类型。

3.很好,对于Configure Instance Details步骤,选择“Auto-assign Public IP”项,并将其设置为“Enable”。

4.对于存储配置,只需添加默认值并单击“Next”即可。

5.在添加标签中我们直接单击"Next"。

6.默认情况下,AWS仅开放了SSH端口。因此,我们必须更改此设置,让服务器开放所有端口。虽然这么做很不安全,但这是本文当中的一个重点。

7.启动

8.这部分可能会有点复杂。通过SSH连接到你的服务器实例,更改私钥(something.pem)的权限,以便ssh可以使用它。从你的实例获取你的主机名。其通常位于Public DNS (IPv4 )下

在本地输入以下命令,连接AWS服务器

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

服务器设置

让我们来更新下软件包,命令如下:

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

依赖项安装:

# apt-get install git -y
# git clone https://github.com/DinoTools/dionaea 19
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的,现在的位置是配置文件dionaea.cfg所在位置。

该文件用于指定你的恶意软件/二进制文件的位置,以及侦听的接口和端口。你可以保留这些默认值,但请记住,日志文件会变大。 就比如我恶意软件大约1个G但却有19G的日志。

Dionaea有许多不同的服务,可以让你的蜜罐对更多类型的攻击开放。因此,你会收集到更多的恶意软件。我们可以通过services-available和services-enabled目录来切换这些设置。通过编辑各个yaml文件,可以编辑服务以及它对黑客/机器人的显示方式。例如想受到SMB攻击,比如...... WannaCry,则你需要设置你的服务器以接受smb。

# vim services-enabled/smb.yaml

如果要启用默认的Windows 7设置,只需取消Win7注释符即可。其它的也一样,我就不多说了!

最后,我们来运行我们的蜜罐。

# /opt/dionaea/bin/dionaea -D

总结

说实话,第一次设置并运行dionaea着实花了我不少的时间。而第二次尝试我仅用了16分钟。如果在此过程中,你遇到了一些自己没法解决的问题,请尝试翻阅他们的官方文档(https://dionaea.readthedocs.io/en/latest/run.html),或在相关的技术论坛提问以寻求解决方案。

*参考来源:0x00sec,FB小编 secist 编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Sherloq:一款开源的数字图片取证工具

    数字图像取证分析是应用图像科学领域里的一种专业知识,这项技术可以在法律事务中解释图像的内容或图像本身所代表的含义。数字图像取证分析与执法应用的主要分支学科包括:...

    FB客服
  • 黑客是如何通过RDP远程桌面服务进行攻击的

    企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。 ...

    FB客服
  • Bash实现快速端口识别与服务监控

    关于端口识别与服务监控问题,早有大牛提供过masscan扫端口+nmap扫服务思路。但在亲自实践过程中,发现最致命的问题是nmap扫描速度太慢,导致无法接受这个...

    FB客服
  • 一文讲解图像插值算法原理!附Python实现

    寄语:本文梳理了最近邻插值法、双线性插值法和三次样条插值法的原理,并以图像缩放为例,对原理进行了C++及Python实现。

    Datawhale
  • 腾讯云官方网站重点活动推荐

    目前各大云服务器商都有各种秒杀、拼团活动,这些活动有效的节约了用户接触使用云服务器的体验成本。作为国内著名的云服务器商,腾讯云也不例外,下面就给大家分享一些腾讯...

    tengxunyun8点com活动整理
  • 图像质量评估:BRISQUE

    我们都知道拍摄相片容易,但是想拍摄高质量的图片却很难,它需要良好的构图和照明。此外,选择正确的镜头和优质的设备也会提高图像的质量。但是,最重要的是,拍摄高质量的...

    小白学视觉
  • 【ImageNet最后的冠军】颜水成:像素级标注数据集将引领计算机视觉下一个时代

    【新智元导读】2017年,ImageNet ILSVRC正式宣告终结。在计算机视觉领域深耕16年的“老兵”颜水成与团队拿下最后冠军,巧合的是,5年前的PASCA...

    新智元
  • 腾讯云服务器腾讯云学生机120元一年低价购买使用教程

    第一步 点开腾讯云学生机链接 https://cloud.tencent.com/act/campus

    用户5803396
  • 进程间通信 -- 各种通信方式的一方天地

    今天突然被 ==“不同场景下该如何选择进程间通信方式?”==给噎着了,这我还真没认真想过,以前只知道说它们都是什么?为什么?怎么用?还真没想过什么时候用谁?这个...

    看、未来
  • windows2008配置单会话

    醉生萌死

扫码关注云+社区

领取腾讯云代金券