如何搭建一套自己的蜜罐系統(tǒng)來收集惡意軟件樣本

引言

本文將介紹如何搭建自己的蜜罐（dionaea）。我想說的是，我們大多數(shù)人都喜歡逆向工程二進制文件。同時，我們中的許多人都對惡意軟件很著迷。那么，為什么不把它們和一些正在被開發(fā)利用的惡意軟件結(jié)合起來呢？

我所要講的是如何在Amazon Web Services（AWS）上搭建蜜罐。如果你不熟悉AWS，這不沒有關(guān)系，你只需要知道：他們提供了許多服務(wù)器，而你可以使用它們。需要注意的是，如果你只需要一個小于50GB的硬盤空間的話，那么你可以創(chuàng)建一個免費的服務(wù)器。不過，你必須向AWS提供你的信用卡信息，但只要你不超過“免費套餐”的限額的話，你就可以永久免費使用這些服務(wù)器?，F(xiàn)在，你可以啟動n個微型實例，但每個月總共只能獲得1個月的免費小時數(shù)。因此，如果你啟用了兩個微型實例，它們會分?jǐn)偯赓M小時數(shù)。一旦超過，就將收費，直到月底。所以，請小心。

所需技能

l  基本的Linux命令

l  對網(wǎng)絡(luò)知識基本的理解

所需資源

服務(wù)器（AWS就很好，還免費提供w/CC） 

免責(zé)聲明（可選）

一些托管服務(wù)提供商不喜歡惡意軟件。

所以，如果他們不像你那樣酷的話，也許不會喜歡你在他們的服務(wù)器上收集惡意軟件樣本。

配置AWS

我現(xiàn)在開始介紹如何配置你的AWS實例。

[如果你未使用AWS，請?zhí)料乱徊糠?。]

1.單擊EC2并創(chuàng)建新實例（EC2 == AWS Servers）。之后，你需要選擇Ubuntu Server 14.04 LTS。

2.接下來，選擇微型實例類型。

3.很好，現(xiàn)在配置細節(jié)，選擇“Auto-assign Public IP”，并將其設(shè)置為“Enable”。

4.對于存儲，只需添加默認值并單擊“Next”。

5.忽略添加標(biāo)簽，然后單擊“Next”。

6. 對于配置安全組，需要深入介紹一下。默認情況下，AWS僅允許為你的服務(wù)器開放SSH。因此，你必須更改此設(shè)置，以便讓服務(wù)器開放所有端口。是的，這很不安全，但這就是我們所需要的。  

7.啟動。

8.好吧，這部分有點復(fù)雜。想要使用SSH連接到你的服務(wù)器實例，你必須更改私鑰（something.pem）的權(quán)限，然后使用它更改ssh。給實例取一個主機名，它通常位于Public DNS（IPv4）下面。

在你的本地輸入以下命令，以連接到AWS服務(wù)器。

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem  ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

配置服務(wù)器

下面，讓我們像管理員那樣來配置服務(wù)器。首先，運行下列命令：

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

然后，安裝依賴項。

# apt-get install git -y
# git clone  https://github.com/DinoTools/dionaea 13
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的，現(xiàn)在來設(shè)置配置文件dionaea.cfg中的位置。

此文件用于指定惡意軟件/二進制文件將被放在什么位置、偵聽哪些接口和端口。你可以保留這些默認值，但請記住，日志文件會變得很大。我應(yīng)該有大約1G的惡意軟件，而日志文件大小是19G。 因此，dionaea提供了許多不同的服務(wù)，可以讓你的蜜罐對更多類型的攻擊開放，而你會收到更多惡意軟件。

我們可以在services-available和services-enabled目錄中切換這些設(shè)置。通過編輯每個yaml文件，你可以編輯服務(wù)以及它對黑客/bot的呈現(xiàn)方式。如果你想受到SMB攻擊，例如WannaCry，你需要對服務(wù)器進行設(shè)置，使其接受smb。

# vim services-enabled/smb.yaml

如果要啟用默認的Windows 7設(shè)置，只需取消Win7對應(yīng)的注釋符即可。剩下的，請隨意發(fā)揮創(chuàng)意。

最后但并非最重要的一點是，讓蜜罐運行起來。

結(jié)論

在第一次成功運行之前，我花了很長的時間才把蜜罐搭建好；但是第二次，我只用了16分鐘。如果你感到困惑，請參考這篇文檔： https://dionaea.readthedocs.io/en/latest/run.html 。

本文轉(zhuǎn)載至“安全客”，原文編輯：邊邊