技術帝！如何設置自己的Dionaea蜜罐來收集惡意軟體樣本

簡介

許多安全人員都熱衷於惡意軟體的逆向工程。在本文中我將教大家設置一個自己的Dionaea蜜罐，來協助我們惡意軟體樣本的收集工作。

本文將主要討論在Amazon Web Services（AWS）上的蜜罐設置步驟。如果你並不熟悉AWS，則我建議你可以先去對AWS做個基本的了解，這樣會更有利於你的理解。需要提醒大家的是，如果你有一個硬碟空間小於50GB的微型實例，你將獲取到一個免費的伺服器。但你必須提供你的信用卡信息給AWS，只要你保持在免費限額內就可以永久的免費使用它。你也可以啟動n個微型實例，但要注意即便這樣你也只能獲得一個月的小時數。例如你將兩個微型實例分開，每個只能分配一半，而且一旦超額就將被收費。這一點大家一定要注意！

Dionaea是一款低互動式蜜罐，是Honeynet Project 的開源項目。Dionaea 蜜罐的設計目的是誘捕惡意攻擊，獲取惡意攻擊會話與惡意代碼程序樣本。它通過模擬各種常見服務，捕獲對服務的攻擊數據，記錄攻擊源和目標 IP、埠、協議類型等信息，以及完整的網路會話過程，自動分析其中可能包含的shellcode及其中的函數調用和下載文件，並獲取惡意程序。

了解常用的Linux命令

對網路知識具有一定的理解

伺服器（強烈推薦AWS，免費提供w/ CC）

一些託管服務提供商並不喜歡惡意軟體。因此，他們可能也不會允許你在他們的伺服器上收集惡意軟體樣本。

現在我們開始設置AWS實例。（如果您未使用AWS，請跳至下一部分）

1.單擊EC2並創建新實例（EC2 == AWS Servers）。之後，選擇Ubuntu Server 14.04 LTS。

2.然後，選擇微型實例類型。

3.很好，對於Configure Instance Details步驟，選擇「Auto-assign Public IP」項，並將其設置為「Enable」。

4.對於存儲配置，只需添加默認值並單擊「Next」即可。

5.在添加標籤中我們直接單擊"Next"。

6.默認情況下，AWS僅開放了SSH埠。因此，我們必須更改此設置，讓伺服器開放所有埠。雖然這麼做很不安全，但這是本文當中的一個重點。

7.啟動

8.這部分可能會有點複雜。通過SSH連接到你的伺服器實例，更改私鑰（something.pem）的許可權，以便ssh可以使用它。從你的實例獲取你的主機名。其通常位於Public DNS (IPv4 )下

在本地輸入以下命令，連接AWS伺服器

$ sudo chmod 400 /home/user/Downloads/key.pem$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

讓我們來更新下軟體包，命令如下：

$ sudo su# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

依賴項安裝：

# apt-get install git -y# git clone https://github.com/DinoTools/dionaea 19# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation# mkdir build# cd build# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …# make# make install# cd /opt/dionaea/

好的，現在的位置是配置文件dionaea.cfg所在位置。

該文件用於指定你的惡意軟體/二進位文件的位置，以及偵聽的介面和埠。你可以保留這些默認值，但請記住，日誌文件會變大。就比如我惡意軟體大約1個G但卻有19G的日誌。

Dionaea有許多不同的服務，可以讓你的蜜罐對更多類型的攻擊開放。因此，你會收集到更多的惡意軟體。我們可以通過services-available和services-enabled目錄來切換這些設置。通過編輯各個yaml文件，可以編輯服務以及它對黑客/機器人的顯示方式。例如想受到SMB攻擊，比如...... WannaCry，則你需要設置你的伺服器以接受smb。

# vim services-enabled/smb.yaml

如果要啟用默認的Windows 7設置，只需取消Win7注釋符即可。其它的也一樣，我就不多說了！

最後，我們來運行我們的蜜罐。

# /opt/dionaea/bin/dionaea -D

說實話，第一次設置並運行dionaea著實花了我不少的時間。而第二次嘗試我僅用了16分鐘。如果在此過程中，你遇到了一些自己沒法解決的問題，請嘗試翻閱他們的官方文檔（https://dionaea.readthedocs.io/en/latest/run.html），或在相關的技術論壇提問以尋求解決方案。

「

喜歡，就要關注

轉載聲明：本文轉載自「FreeBuf」，感謝原作者辛勞創作。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！