文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何搭建一套自己的蜜罐系统来收集恶意软件样本

2023-06-04 19:20

关注

引言

本文将介绍如何搭建自己的蜜罐(dionaea)。我想说的是,我们大多数人都喜欢逆向工程二进制文件。同时,我们中的许多人都对恶意软件很着迷。那么,为什么不把它们和一些正在被开发利用的恶意软件结合起来呢?

我所要讲的是如何在Amazon Web Services(AWS)上搭建蜜罐。如果你不熟悉AWS,这不没有关系,你只需要知道:他们提供了许多服务器,而你可以使用它们。需要注意的是,如果你只需要一个小于50GB的硬盘空间的话,那么你可以创建一个免费的服务器。不过,你必须向AWS提供你的信用卡信息,但只要你不超过“免费套餐”的限额的话,你就可以永久免费使用这些服务器。现在,你可以启动n个微型实例,但每个月总共只能获得1个月的免费小时数。因此,如果你启用了两个微型实例,它们会分摊免费小时数。一旦超过,就将收费,直到月底。所以,请小心。

所需技能

l  基本的Linux命令

l  对网络知识基本的理解

所需资源

服务器(AWS就很好,还免费提供w/CC) 

免责声明(可选)

一些托管服务提供商不喜欢恶意软件。

所以,如果他们不像你那样酷的话,也许不会喜欢你在他们的服务器上收集恶意软件样本。

 

配置AWS

我现在开始介绍如何配置你的AWS实例。

[如果你未使用AWS,请跳至下一部分。]

单击EC2并创建新实例(EC2 == AWS Servers)。之后,你需要选择Ubuntu Server 14.04 LTS。

如何搭建一套自己的蜜罐系统来收集恶意软件样本 

接下来,选择微型实例类型。

很好,现在配置细节,选择“Auto-assign Public IP”,并将其设置为“Enable”。

如何搭建一套自己的蜜罐系统来收集恶意软件样本

对于存储,只需添加默认值并单击“Next”。

忽略添加标签,然后单击“Next”。

 对于配置安全组,需要深入介绍一下。默认情况下,AWS仅允许为你的服务器开放SSH。因此,你必须更改此设置,以便让服务器开放所有端口。是的,这很不安全,但这就是我们所需要的。如何搭建一套自己的蜜罐系统来收集恶意软件样本 

启动。

如何搭建一套自己的蜜罐系统来收集恶意软件样本

好吧,这部分有点复杂。想要使用SSH连接到你的服务器实例,你必须更改私钥(something.pem)的权限,然后使用它更改ssh。给实例取一个主机名,它通常位于Public DNS(IPv4)下面。

如何搭建一套自己的蜜罐系统来收集恶意软件样本

在你的本地输入以下命令,以连接到AWS服务器。

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

 

配置服务器

下面,让我们像管理员那样来配置服务器。首先,运行下列命令:

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

然后,安装依赖项。

# apt-get install git -y
# git clone https://github.com/DinoTools/dionaea 13
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的,现在来设置配置文件dionaea.cfg中的位置。

此文件用于指定恶意软件/二进制文件将被放在什么位置、侦听哪些接口和端口。你可以保留这些默认值,但请记住,日志文件会变得很大。我应该有大约1G的恶意软件,而日志文件大小是19G。如何搭建一套自己的蜜罐系统来收集恶意软件样本因此,dionaea提供了许多不同的服务,可以让你的蜜罐对更多类型的攻击开放,而你会收到更多恶意软件。

我们可以在services-available和services-enabled目录中切换这些设置。通过编辑每个yaml文件,你可以编辑服务以及它对黑客/bot的呈现方式。如果你想受到SMB攻击,例如WannaCry,你需要对服务器进行设置,使其接受smb。

# vim services-enabled/smb.yaml

如果要启用默认的Windows 7设置,只需取消Win7对应的注释符即可。剩下的,请随意发挥创意。

如何搭建一套自己的蜜罐系统来收集恶意软件样本

最后但并非最重要的一点是,让蜜罐运行起来。

如何搭建一套自己的蜜罐系统来收集恶意软件样本

结论

在第一次成功运行之前,我花了很长的时间才把蜜罐搭建好;但是第二次,我只用了16分钟。如果你感到困惑,请参考这篇文档:https://dionaea.readthedocs.io/en/latest/run.html。

本文转载至“安全客”,原文编辑:边边

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯