Ph0neutria：一款從野外采集惡意軟件樣本的工具

發(fā)布時(shí)間：2020-08-11 11:26:10 來(lái)源：ITPUB博客閱讀：149 作者：IT168GB 欄目：網(wǎng)絡(luò)安全

ph0neutria是一個(gè)直接從野外采集惡意軟件樣本的工具。并且其所有采集的內(nèi)容都將被存儲(chǔ)在Viper中，以便于訪問(wèn)和管理。

該項(xiàng)目的靈感來(lái)源于 Ragpicker （一款惡意軟件爬蟲工具）。而相比之下，ph0neutria的優(yōu)勢(shì)主要體現(xiàn)在以下幾點(diǎn)：

將爬取的范圍限制為僅經(jīng)常更新且可靠的來(lái)源。

最大化個(gè)別指標(biāo)的有效性。

提供單一可靠且組織良好的存儲(chǔ)機(jī)制。

不做Viper可以完成的工作。

那么為什么將該工具命名為ph0neutria呢？如果你對(duì)巴西的蜘蛛有了解的話，你一定聽過(guò)一種被稱為“Phoneutria nigriventer”（外文名Brazillian Wandering Spider）的巴西游走蜘蛛。這種蜘蛛在2007年世界吉尼斯記錄書上，被譽(yù)為是世界上最毒的動(dòng)物。其爬行的速度極快，它們的腿強(qiáng)壯而帶有尖刺，他們擁有與眾不同的紅色螯肢，會(huì)在憤怒時(shí)將他們展露出來(lái)。詳見： https://en.wikipedia.org/wiki/Brazilian_wandering_spider

來(lái)源

URL feeds:

Malc0de

Malshare

VX Vault

OSINT。如果需要，被動(dòng)DNS將被用于生成一個(gè)域的最新IP列表，并會(huì)通過(guò)VirusTotal查找與IP相關(guān)的最新URL。注意，一次只能查詢一個(gè)源，不要超過(guò)VirusTotal API的請(qǐng)求限制范圍。從每個(gè)源獲取到的URL列表都將由evenshtein distance（萊文斯坦距離）過(guò)濾，以減少相似項(xiàng)目的數(shù)量，在他們自己的線程中進(jìn)行處理。

AlienVault OTX

CyberCrime Tracker

DNS-BH

Payload Security (Hybrid Analysis)

Shodan

ThreatExpert

截圖

Ph0neutria：一款從野外采集惡意軟件樣本的工具

版本說(shuō)明

0.6.0： Tor代理需要pysocks（pip install pysocks）以及至少版本不低于2.10.0的python requests，以支持SOCKS

理。

0.9.0：從Phage Malware Tracker（私有項(xiàng)目）中提取的OSINT功能 – 需要VirusTotal API密鑰。更強(qiáng)大的野外文件檢索能力。本地URL和哈希緩存（以減少API負(fù)載）。

0.9.1：已更新使用V3 Viper API，不再兼容V2。

安裝

以下腳本將為我們安裝ph0neutria，Viper以及Tor：

wget https://raw.githubusercontent.com/phage-nz/ph0neutria/master/install.sh
chmod +x install.sh
sudo ./install.sh

可選

配置額外的ClamAV簽名：

cd /tmp
git clone https://github.com/extremeshok/clamav-unofficial-sigscd clamav-unofficial-sigs
cp clamav-unofficial-sigs.sh /usr/local/bin
chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh
mkdir /etc/clamav-unofficial-sigs
cp config/ /etc/clamav-unofficial-sigs
cd /etc/clamav-unofficial-sigs*

重命名os.<yourdistro>.conf為os.conf：

mv os.ubuntu.conf os.conf

修改配置文件：

master.conf：搜索“Enabled Databases”并啟用/禁用所需的源。

user.conf：取消已啟用源所需行的注釋。user.conf覆蓋master.conf。完成以下命令的設(shè)置后，你必須將user_configuration_complete=”yes”的注釋取消才能使配置生效。

有關(guān)更多配置信息，請(qǐng)參閱： https://github.com/extremeshok/clamav-unofficial-sigs

mkdir /var/log/clamav-unofficial-sigs
clamav-unofficial-sigs.sh --install-cron
clamav-unofficial-sigs.sh --install-logrotate
clamav-unofficial-sigs.sh --install-man
clamav-unofficial-sigs.shcd /tmp/clamav-unofficial-sigs
cp systemd/* /etc/systemdcd ..
rm -rf clamav-unofficial-sigs

這個(gè)過(guò)程可能需要等待一段時(shí)間 – 在此期間ClamAV可能無(wú)法使用。

使用

在使用的過(guò)程中，大家務(wù)必要做自身的保護(hù)工作：

在沒(méi)有其它可用匿名VPN的情況下，切勿禁用Tor。

在隔離網(wǎng)絡(luò)和專用硬件上運(yùn)行。

在合適的沙箱中執(zhí)行樣本（請(qǐng)參閱： https://github.com/phage-nz/malware-hunting/tree/master/sandbox ）。

監(jiān)控你的API密鑰是否存在濫用的情況。

確保Tor已啟動(dòng)：

service tor restart

啟動(dòng)Viper API和Web界面：

cd /opt/viper
sudo -H -u spider python viper-web

記下Viper啟動(dòng)時(shí)創(chuàng)建的管理員密碼。使用此命令格式登錄http://<viper IP>:<viper port>/admin（默認(rèn)為： http://127.0.0.1:8080/admin ）并從Tokens頁(yè)面中檢索API token。

Viper web界面地址：http://<viper IP>:<viper port> (默認(rèn)： http://127.0.0.1:8080 )。

完整的配置文件在：/opt/ph0neutria/config/settings.conf

啟動(dòng) ph0neutria：

cd /opt/ph0neutria
sudo -H -u spider python run.py

你可以隨時(shí)按Ctrl+C來(lái)終止運(yùn)行，你也可以隨時(shí)啟動(dòng)它。

如果你希望每天都運(yùn)行一次，可以在/etc/cron.daily中創(chuàng)建以下腳本：

#!/bin/bashcd /opt/ph0neutria && sudo -H -u spider python run.py

已知問(wèn)題

Viper標(biāo)簽將被強(qiáng)制轉(zhuǎn)換為小寫（通過(guò)Viper）。如果你覺(jué)得不習(xí)慣的話，那么你可以在viper/viper/core/database.py中將所有出現(xiàn)的.lower()刪除即可。

參考

http://malshare.com/doc.php - MalShare API 文檔

http://viper-framework.readthedocs.io/en/latest/usage/web.html - Viper API 文檔

https://developers.virustotal.com/v2.0/reference - VirusTotal API 文檔

https://www.hybrid-analysis.com/apikeys/info - Payload Security API 文檔

https://otx.alienvault.com/api - AlienVault OTX API 文檔

本文轉(zhuǎn)載自：FreeBuf.COM，原文由 FB 小編 secist 編譯

向AI問(wèn)一下細(xì)節(jié)

Ph0neutria：一款從野外采集惡意軟件樣本的工具

來(lái)源

截圖

版本說(shuō)明

安裝

可選

使用

本文轉(zhuǎn)載自：FreeBuf.COM，原文由 FB 小編 secist 編譯

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽

本文轉(zhuǎn)載自：FreeBuf.COM，原文由 FB 小編 secist 編譯