如何搭建一套自己的蜜罐系统来收集恶意软件样本
引言
本文将介绍如何搭建自己的蜜罐(dionaea)。我想说的是,我们大多数人都喜欢逆向工程二进制文件。同时,我们中的许多人都对恶意软件很着迷。那么,为什么不把它们和一些正在被开发利用的恶意软件结合起来呢?
成都创新互联公司主要从事网站设计制作、做网站、网页设计、企业做网站、公司建网站等业务。立足成都服务泾源,10余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:028-86922220
我所要讲的是如何在Amazon Web Services(AWS)上搭建蜜罐。如果你不熟悉AWS,这不没有关系,你只需要知道:他们提供了许多服务器,而你可以使用它们。需要注意的是,如果你只需要一个小于50GB的硬盘空间的话,那么你可以创建一个免费的服务器。不过,你必须向AWS提供你的信用卡信息,但只要你不超过“免费套餐”的限额的话,你就可以永久免费使用这些服务器。现在,你可以启动n个微型实例,但每个月总共只能获得1个月的免费小时数。因此,如果你启用了两个微型实例,它们会分摊免费小时数。一旦超过,就将收费,直到月底。所以,请小心。
所需技能
l 基本的Linux命令
l 对网络知识基本的理解
所需资源
服务器(AWS就很好,还免费提供w/CC)
免责声明(可选)
一些托管服务提供商不喜欢恶意软件。
所以,如果他们不像你那样酷的话,也许不会喜欢你在他们的服务器上收集恶意软件样本。
配置AWS
我现在开始介绍如何配置你的AWS实例。
[如果你未使用AWS,请跳至下一部分。]
1.单击EC2并创建新实例(EC2 == AWS Servers)。之后,你需要选择Ubuntu Server 14.04 LTS。
2.接下来,选择微型实例类型。
3.很好,现在配置细节,选择“Auto-assign Public IP”,并将其设置为“Enable”。
4.对于存储,只需添加默认值并单击“Next”。
5.忽略添加标签,然后单击“Next”。
6. 对于配置安全组,需要深入介绍一下。默认情况下,AWS仅允许为你的服务器开放SSH。因此,你必须更改此设置,以便让服务器开放所有端口。是的,这很不安全,但这就是我们所需要的。
7.启动。
8.好吧,这部分有点复杂。想要使用SSH连接到你的服务器实例,你必须更改私钥(something.pem)的权限,然后使用它更改ssh。给实例取一个主机名,它通常位于Public DNS(IPv4)下面。
在你的本地输入以下命令,以连接到AWS服务器。
$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem
ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com
配置服务器
下面,让我们像管理员那样来配置服务器。首先,运行下列命令:
$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;
然后,安装依赖项。
# apt-get install git -y
# git clone
https://github.com/DinoTools/dionaea 13
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/
好的,现在来设置配置文件dionaea.cfg中的位置。
此文件用于指定恶意软件/二进制文件将被放在什么位置、侦听哪些接口和端口。你可以保留这些默认值,但请记住,日志文件会变得很大。我应该有大约1G的恶意软件,而日志文件大小是19G。 因此,dionaea提供了许多不同的服务,可以让你的蜜罐对更多类型的攻击开放,而你会收到更多恶意软件。
我们可以在services-available和services-enabled目录中切换这些设置。通过编辑每个yaml文件,你可以编辑服务以及它对黑客/bot的呈现方式。如果你想受到SMB攻击,例如WannaCry,你需要对服务器进行设置,使其接受smb。
# vim services-enabled/smb.yaml
如果要启用默认的Windows 7设置,只需取消Win7对应的注释符即可。剩下的,请随意发挥创意。
最后但并非最重要的一点是,让蜜罐运行起来。
结论
在第一次成功运行之前,我花了很长的时间才把蜜罐搭建好;但是第二次,我只用了16分钟。如果你感到困惑,请参考这篇文档: https://dionaea.readthedocs.io/en/latest/run.html 。
本文转载至“安全客”,原文编辑:边边
新闻名称:如何搭建一套自己的蜜罐系统来收集恶意软件样本
链接URL:http://scyanting.com/article/pgjdgd.html