如何搭建一套自己的蜜罐系统来收集恶意软件样本

引言

本文将介绍如何搭建自己的蜜罐（dionaea）。我想说的是，我们大多数人都喜欢逆向工程二进制文件。同时，我们中的许多人都对恶意软件很着迷。那么，为什么不把它们和一些正在被开发利用的恶意软件结合起来呢？

我所要讲的是如何在Amazon Web Services（AWS）上搭建蜜罐。如果你不熟悉AWS，这不没有关系，你只需要知道：他们提供了许多服务器，而你可以使用它们。需要注意的是，如果你只需要一个小于50GB的硬盘空间的话，那么你可以创建一个免费的服务器。不过，你必须向AWS提供你的信用卡信息，但只要你不超过“免费套餐”的限额的话，你就可以永久免费使用这些服务器。现在，你可以启动n个微型实例，但每个月总共只能获得1个月的免费小时数。因此，如果你启用了两个微型实例，它们会分摊免费小时数。一旦超过，就将收费，直到月底。所以，请小心。

所需技能

l  基本的Linux命令

l  对网络知识基本的理解

所需资源

服务器（AWS就很好，还免费提供w/CC） 

免责声明（可选）

一些托管服务提供商不喜欢恶意软件。

所以，如果他们不像你那样酷的话，也许不会喜欢你在他们的服务器上收集恶意软件样本。

配置AWS

我现在开始介绍如何配置你的AWS实例。

[如果你未使用AWS，请跳至下一部分。]

1.单击EC2并创建新实例（EC2 == AWS Servers）。之后，你需要选择Ubuntu Server 14.04 LTS。

2.接下来，选择微型实例类型。

3.很好，现在配置细节，选择“Auto-assign Public IP”，并将其设置为“Enable”。

4.对于存储，只需添加默认值并单击“Next”。

5.忽略添加标签，然后单击“Next”。

6. 对于配置安全组，需要深入介绍一下。默认情况下，AWS仅允许为你的服务器开放SSH。因此，你必须更改此设置，以便让服务器开放所有端口。是的，这很不安全，但这就是我们所需要的。  

7.启动。

8.好吧，这部分有点复杂。想要使用SSH连接到你的服务器实例，你必须更改私钥（something.pem）的权限，然后使用它更改ssh。给实例取一个主机名，它通常位于Public DNS（IPv4）下面。

在你的本地输入以下命令，以连接到AWS服务器。

$ sudo chmod 400 /home/user/Downloads/key.pem
$ ssh -i /home/user/Downloads/key.pem  ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

配置服务器

下面，让我们像管理员那样来配置服务器。首先，运行下列命令：

$ sudo su
# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

然后，安装依赖项。

# apt-get install git -y
# git clone  https://github.com/DinoTools/dionaea 13
# apt-get install build-essential cmake check cython3 libcurl4-openssl-dev libemu-dev libev-dev libglib2.0-dev libloudmouth2-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-dev python3-bson python3-yaml ttf-liberation
# mkdir build
# cd build
# cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea …
# make
# make install
# cd /opt/dionaea/

好的，现在来设置配置文件dionaea.cfg中的位置。

此文件用于指定恶意软件/二进制文件将被放在什么位置、侦听哪些接口和端口。你可以保留这些默认值，但请记住，日志文件会变得很大。我应该有大约1G的恶意软件，而日志文件大小是19G。 因此，dionaea提供了许多不同的服务，可以让你的蜜罐对更多类型的攻击开放，而你会收到更多恶意软件。

我们可以在services-available和services-enabled目录中切换这些设置。通过编辑每个yaml文件，你可以编辑服务以及它对黑客/bot的呈现方式。如果你想受到SMB攻击，例如WannaCry，你需要对服务器进行设置，使其接受smb。

# vim services-enabled/smb.yaml

如果要启用默认的Windows 7设置，只需取消Win7对应的注释符即可。剩下的，请随意发挥创意。

最后但并非最重要的一点是，让蜜罐运行起来。

结论

在第一次成功运行之前，我花了很长的时间才把蜜罐搭建好；但是第二次，我只用了16分钟。如果你感到困惑，请参考这篇文档： https://dionaea.readthedocs.io/en/latest/run.html 。

本文转载至“安全客”，原文编辑：边边