如何设置自己的Dionaea蜜罐来收集恶意软件样本

AWS设置

现在我们开始设置AWS实例

简介

许多安然职员都热衷于恶意软件的逆向工程在本文中我将教大年夜家设置一个自己的Dionaea蜜罐,来帮忙我们恶意软件样本的网络事情

本文将主要评论争论在Amazon Web Services(AWS)上的蜜罐设置步骤假如你并不认识AWS,则我建议你可以先去对AWS做个基础的懂得,这样会更有利于你的理解必要提醒大年夜家的是,假如你有一个硬盘空间小于50GB的微型实例,你将获取到一个免费的办事器但你必须供给你的信用卡信息给AWS,只要你维持在免费限额内就可以永远的免费应用它你也可以启动n个微型实例,但要留意即便这样你也只能得到一个月的小时数例如你将两个微型实例分开,每个只能分配一半,而且一旦逾额就将被收费这一点大年夜家必然要留意!

FB百科

Dionaea是一款低交互式蜜罐,是Honeynet Project 的开源项目Dionaea 蜜罐的设计目的是诱捕恶意进击,获取恶意进击会话与恶意代码法度榜样样本它经由过程模拟各类常见办事,捕获对办事的进击数据,记录进击源和目标 IP、端口、协议类型等信息,以及完备的收集会话历程,自动阐发此中可能包孕的shellcode及此中的函数调用和下载文件,并获取恶意法度榜样

所需技能

懂得常用的Linux敕令

对收集常识具有必然的理解

办事器

办事器(强烈保举AWS,免费供给w/ CC)

免责声明(可选)

一些托管办事供给商并不爱好恶意软件是以,他们可能也不会容许你在他们的办事器上网络恶意软件样本(假如您未应用AWS,请跳至下一部分)

1.单击EC2并创建新实例(EC2 == AWS Servers)之后,选择Ubuntu Server 14.04 LTS

2.然后,选择微型实例类型

3.很好,对付Configure Instance Details步骤,选择“Auto-assign Public IP”项,并将其设置为“Enable”

4.对付存储设置设置设备摆设摆设,只需添加默认值并单击“Next”即可

5.在添加标签中我们直接单击”Next”

6.默认环境下,AWS仅开放了SSH端口是以,我们必须变动此设置,让办事器开放所有端口虽然这么做很不安然,但这是本文傍边的一个重点

7.启动

8.这部分可能会有点繁杂经由过程SSH连接到你的办事器实例,变动私钥(something.pem)的权限,以便ssh可以应用它从你的实例获取你的主机名其平日位于Public DNS (IPv4 )下

在本地输入以下敕令,连接AWS办事器

$ sudo chmod 400 /home/user/Downloads/key.pem

$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

办事器设置

让我们来更新下软件包,敕令如下:

$ sudo su

# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

依附项安装:

# apt-get install git -y

# git clone https://github.com/DinoTools/dionaea 19

# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation

# mkdir build

# cd build

# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …

# make

# make install

# cd /opt/dionaea/

好的,现在的位置是设置设置设备摆设摆设文件dionaea.cfg所在位置

该文件用于指定你的恶意软件/二进制文件的位置,以及侦听的接口和端口你可以保留这些默认值,但请记着,日志文件会变大年夜 就比如我恶意软件大年夜约1个G但却有19G的日志

Dionaea有许多不合的办事,可以让你的蜜罐对更多类型的进击开放是以,你会网络到更多的恶意软件我们可以经由过程services-available和services-enabled目录来切换这些设置经由过程编辑各个yaml文件,可以编辑办事以及它对黑客/机械人的显示要领例如想受到SMB进击,比如…… WannaCry,则你必要设置你的办事器以吸收smb

# vim services-enabled/smb.yaml

假如要启用默认的Windows 7设置,只需取消Win7注释符即可其它的也一样,我就不多说了!

着末,我们来运行我们的蜜罐

# /opt/dionaea/bin/dionaea -D

总结

说实话,第一次设置并运行dionaea实在花了我不少的光阴而第二次考试测验我仅用了16分钟假如在此历程中,你碰到了一些自己没法办理的问题,请考试测验翻阅他们的官方文档(https://dionaea.readthedocs.io/en/latest/run.html),或在相关的技巧论坛提问以寻求办理规划

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包