簡介

許多安全人員都熱衷于惡意軟件的逆向工程。在本文中我將教大家設(shè)置一個自己的Dionaea蜜罐，來協(xié)助我們惡意軟件樣本的收集工作。

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供焉耆網(wǎng)站建設(shè)、焉耆做網(wǎng)站、焉耆網(wǎng)站設(shè)計、焉耆網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、焉耆企業(yè)網(wǎng)站模板建站服務(wù)，十余年焉耆做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

本文將主要討論在Amazon Web Services（AWS）上的蜜罐設(shè)置步驟。如果你并不熟悉AWS，則我建議你可以先去對AWS做個基本的了解，這樣會更有利于你的理解。需要提醒大家的是，如果你有一個硬盤空間小于50GB的微型實例，你將獲取到一個免費(fèi)的服務(wù)器。但你必須提供你的信用卡信息給AWS，只要你保持在免費(fèi)限額內(nèi)就可以永久的免費(fèi)使用它。你也可以啟動n個微型實例，但要注意即便這樣你也只能獲得一個月的小時數(shù)。例如你將兩個微型實例分開，每個只能分配一半，而且一旦超額就將被收費(fèi)。這一點(diǎn)大家一定要注意！

FB百科

Dionaea是一款低交互式蜜罐，是Honeynet Project 的開源項目。Dionaea 蜜罐的設(shè)計目的是誘捕惡意攻擊，獲取惡意攻擊會話與惡意代碼程序樣本。它通過模擬各種常見服務(wù)，捕獲對服務(wù)的攻擊數(shù)據(jù)，記錄攻擊源和目標(biāo) IP、端口、協(xié)議類型等信息，以及完整的網(wǎng)絡(luò)會話過程，自動分析其中可能包含的shellcode及其中的函數(shù)調(diào)用和下載文件，并獲取惡意程序。

所需技能

了解常用的Linux命令

對網(wǎng)絡(luò)知識具有一定的理解

服務(wù)器

服務(wù)器（強(qiáng)烈推薦AWS，免費(fèi)提供w/ CC）

免責(zé)聲明（可選）

一些托管服務(wù)提供商并不喜歡惡意軟件。因此，他們可能也不會允許你在他們的服務(wù)器上收集惡意軟件樣本。

AWS設(shè)置

現(xiàn)在我們開始設(shè)置AWS實例。（如果您未使用AWS，請?zhí)料乱徊糠郑?/p>

1.單擊EC2并創(chuàng)建新實例（EC2 == AWS Servers）。之后，選擇Ubuntu Server 14.04 LTS。

2.然后，選擇微型實例類型。

3.很好，對于Configure Instance Details步驟，選擇“Auto-assign Public IP”項，并將其設(shè)置為“Enable”。

4.對于存儲配置，只需添加默認(rèn)值并單擊“Next”即可。

5.在添加標(biāo)簽中我們直接單擊”Next”。

6.默認(rèn)情況下，AWS僅開放了SSH端口。因此，我們必須更改此設(shè)置，讓服務(wù)器開放所有端口。雖然這么做很不安全，但這是本文當(dāng)中的一個重點(diǎn)。

7.啟動

8.這部分可能會有點(diǎn)復(fù)雜。通過SSH連接到你的服務(wù)器實例，更改私鑰（something.pem）的權(quán)限，以便ssh可以使用它。從你的實例獲取你的主機(jī)名。其通常位于Public DNS (IPv4 )下

在本地輸入以下命令，連接AWS服務(wù)器

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

服務(wù)器設(shè)置

讓我們來更新下軟件包，命令如下：

$ sudo su# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

依賴項安裝：

# apt-get install git -y
# git clone https://github.com/DinoTools/dionaea 19
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的，現(xiàn)在的位置是配置文件dionaea.cfg所在位置。

該文件用于指定你的惡意軟件/二進(jìn)制文件的位置，以及偵聽的接口和端口。你可以保留這些默認(rèn)值，但請記住，日志文件會變大。 就比如我惡意軟件大約1個G但卻有19G的日志。

Dionaea有許多不同的服務(wù)，可以讓你的蜜罐對更多類型的攻擊開放。因此，你會收集到更多的惡意軟件。我們可以通過services-available和services-enabled目錄來切換這些設(shè)置。通過編輯各個yaml文件，可以編輯服務(wù)以及它對黑客/機(jī)器人的顯示方式。例如想受到SMB攻擊，比如…… WannaCry，則你需要設(shè)置你的服務(wù)器以接受smb。

# vim services-enabled/smb.yaml

如果要啟用默認(rèn)的Windows 7設(shè)置，只需取消Win7注釋符即可。其它的也一樣，我就不多說了！

最后，我們來運(yùn)行我們的蜜罐。

# /opt/dionaea/bin/dionaea -D

總結(jié)

說實話，第一次設(shè)置并運(yùn)行dionaea著實花了我不少的時間。而第二次嘗試我僅用了16分鐘。如果在此過程中，你遇到了一些自己沒法解決的問題，請嘗試翻閱他們的官方文檔（ https://dionaea.readthedocs.io/en/latest/run.html ），或在相關(guān)的技術(shù)論壇提問以尋求解決方案。

本文轉(zhuǎn)載自： FreeBuf.COM ,原文由 FB小編 secist 編譯

網(wǎng)站名稱：如何設(shè)置自己的Dionaea蜜罐來收集惡意軟件樣本
URL網(wǎng)址：http://jinyejixie.com/article28/ijjjcp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、微信小程序、企業(yè)網(wǎng)站制作、外貿(mào)建站、移動網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)