如何搭建一套自己的蜜罐系统来收集恶意软件样本

阅读量    30024 |   稿费 120

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

引言

本文将介绍如何搭建自己的蜜罐(dionaea)。我想说的是,我们大多数人都喜欢逆向工程二进制文件。同时,我们中的许多人都对恶意软件很着迷。那么,为什么不把它们和一些正在被开发利用的恶意软件结合起来呢?

我所要讲的是如何在Amazon Web ServicesAWS)上搭建蜜罐。如果你不熟悉AWS,这不没有关系,你只需要知道:他们提供了许多服务器,而你可以使用它们。需要注意的是,如果你只需要一个小于50GB的硬盘空间的话,那么你可以创建一个免费的服务器。不过,你必须向AWS提供你的信用卡信息,但只要你不超过免费套餐的限额的话,你就可以永久免费使用这些服务器。现在,你可以启动n个微型实例,但每个月总共只能获得1个月的免费小时数。因此,如果你启用了两个微型实例,它们会分摊免费小时数。一旦超过,就将收费,直到月底。所以,请小心。

 

所需技能

l  基本的Linux命令

l  对网络知识基本的理解

 

所需资源

服务器(AWS就很好,还免费提供w/CC

 

免责声明(可选)

一些托管服务提供商不喜欢恶意软件。

所以,如果他们不像你那样酷的话,也许不会喜欢你在他们的服务器上收集恶意软件样本。

 

配置AWS

我现在开始介绍如何配置你的AWS实例。

[如果你未使用AWS,请跳至下一部分。]

1.单击EC2并创建新实例(EC2 == AWS Servers)。之后,你需要选择Ubuntu Server 14.04 LTS

 2.接下来,选择微型实例类型。

 3.很好,现在配置细节,选择“Auto-assign Public IP”,并将其设置为“Enable”

4.对于存储,只需添加默认值并单击“Next”

5.忽略添加标签,然后单击“Next”

6. 对于配置安全组,需要深入介绍一下。默认情况下,AWS仅允许为你的服务器开放SSH。因此,你必须更改此设置,以便让服务器开放所有端口。是的,这很不安全,但这就是我们所需要的。 7.启动。

8.好吧,这部分有点复杂。想要使用SSH连接到你的服务器实例,你必须更改私钥(something.pem)的权限,然后使用它更改ssh。给实例取一个主机名,它通常位于Public DNSIPv4)下面。

在你的本地输入以下命令,以连接到AWS服务器。

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

 

配置服务器

下面,让我们像管理员那样来配置服务器。首先,运行下列命令:

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

然后,安装依赖项。

# apt-get install git -y
# git clone https://github.com/DinoTools/dionaea 13
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的,现在来设置配置文件dionaea.cfg中的位置。

此文件用于指定恶意软件/二进制文件将被放在什么位置、侦听哪些接口和端口。你可以保留这些默认值,但请记住,日志文件会变得很大。我应该有大约1G的恶意软件,而日志文件大小是19G因此,dionaea提供了许多不同的服务,可以让你的蜜罐对更多类型的攻击开放,而你会收到更多恶意软件。

我们可以在services-availableservices-enabled目录中切换这些设置。通过编辑每个yaml文件,你可以编辑服务以及它对黑客/bot的呈现方式。如果你想受到SMB攻击,例如WannaCry,你需要对服务器进行设置,使其接受smb

# vim services-enabled/smb.yaml

如果要启用默认的Windows 7设置,只需取消Win7对应的注释符即可。剩下的,请随意发挥创意。

最后但并非最重要的一点是,让蜜罐运行起来。

 

结论

在第一次成功运行之前,我花了很长的时间才把蜜罐搭建好;但是第二次,我只用了16分钟。如果你感到困惑,请参考这篇文档:https://dionaea.readthedocs.io/en/latest/run.html

审核人:yiwang   编辑:边边

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多