如何搭建一套自己的蜜罐系統來收集惡意軟件樣本

引言

本文將介紹如何搭建自己的蜜罐（dionaea）。我想說的是，我們大多數人都喜歡逆向工程二進制文件。同時，我們中的許多人都對惡意軟件很著迷。那么，為什么不把它們和一些正在被開發利用的惡意軟件結合起來呢？

我所要講的是如何在Amazon Web Services（AWS）上搭建蜜罐。如果你不熟悉AWS，這不沒有關系，你只需要知道：他們提供了許多服務器，而你可以使用它們。需要注意的是，如果你只需要一個小于50GB的硬盤空間的話，那么你可以創建一個免費的服務器。不過，你必須向AWS提供你的信用卡信息，但只要你不超過“免費套餐”的限額的話，你就可以永久免費使用這些服務器。現在，你可以啟動n個微型實例，但每個月總共只能獲得1個月的免費小時數。因此，如果你啟用了兩個微型實例，它們會分攤免費小時數。一旦超過，就將收費，直到月底。所以，請小心。

所需技能

l  基本的Linux命令

l  對網絡知識基本的理解

所需資源

服務器（AWS就很好，還免費提供w/CC） 

免責聲明（可選）

一些托管服務提供商不喜歡惡意軟件。

所以，如果他們不像你那樣酷的話，也許不會喜歡你在他們的服務器上收集惡意軟件樣本。

配置AWS

我現在開始介紹如何配置你的AWS實例。

[如果你未使用AWS，請跳至下一部分。]

1.單擊EC2并創建新實例（EC2 == AWS Servers）。之后，你需要選擇Ubuntu Server 14.04 LTS。

2.接下來，選擇微型實例類型。

3.很好，現在配置細節，選擇“Auto-assign Public IP”，并將其設置為“Enable”。

4.對于存儲，只需添加默認值并單擊“Next”。

5.忽略添加標簽，然后單擊“Next”。

6. 對于配置安全組，需要深入介紹一下。默認情況下，AWS僅允許為你的服務器開放SSH。因此，你必須更改此設置，以便讓服務器開放所有端口。是的，這很不安全，但這就是我們所需要的。  

7.啟動。

8.好吧，這部分有點復雜。想要使用SSH連接到你的服務器實例，你必須更改私鑰（something.pem）的權限，然后使用它更改ssh。給實例取一個主機名，它通常位于Public DNS（IPv4）下面。

在你的本地輸入以下命令，以連接到AWS服務器。

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem  ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

配置服務器

下面，讓我們像管理員那樣來配置服務器。首先，運行下列命令：

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

然后，安裝依賴項。

# apt-get install git -y
# git clone  https://github.com/DinoTools/dionaea 13
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的，現在來設置配置文件dionaea.cfg中的位置。

此文件用于指定惡意軟件/二進制文件將被放在什么位置、偵聽哪些接口和端口。你可以保留這些默認值，但請記住，日志文件會變得很大。我應該有大約1G的惡意軟件，而日志文件大小是19G。 因此，dionaea提供了許多不同的服務，可以讓你的蜜罐對更多類型的攻擊開放，而你會收到更多惡意軟件。

我們可以在services-available和services-enabled目錄中切換這些設置。通過編輯每個yaml文件，你可以編輯服務以及它對黑客/bot的呈現方式。如果你想受到SMB攻擊，例如WannaCry，你需要對服務器進行設置，使其接受smb。

# vim services-enabled/smb.yaml

如果要啟用默認的Windows 7設置，只需取消Win7對應的注釋符即可。剩下的，請隨意發揮創意。

最后但并非最重要的一點是，讓蜜罐運行起來。

結論

在第一次成功運行之前，我花了很長的時間才把蜜罐搭建好；但是第二次，我只用了16分鐘。如果你感到困惑，請參考這篇文檔： https://dionaea.readthedocs.io/en/latest/run.html 。

本文轉載至“安全客”，原文編輯：邊邊