解决方案:Docker化自动采集&模拟恶意软件环境
优采云 发布时间: 2022-11-22 22:16解决方案:Docker化自动采集&模拟恶意软件环境
概述
一个真实的Linux恶意软件入侵环境往往收录
病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项,如果我们只获取单个病毒文件,很难还原出恶意软件的整个攻击环境,从而不便于对攻击链进行全面的研究分析和测试产品的安全能力。接下来介绍一种基于Docker的方法,可以自动采集并还原恶意软件的整个攻击场景,从而最大程度地模拟主机中毒的环境,方便后续恶意软件的研究和分析。
这种方法的原理是利用bash脚本自动采集
中毒主机上的病毒项,然后打包到容器环境中,最后通过Docker在本地模拟运行。此时生成的Docker容器中收录
了一个完整的恶意软件环境。
详细步骤
下面以StartMiner(8220挖矿系列)中毒环境为例。通过命令可以看到主机中收录
恶意定时任务、病毒文件、病毒进程等信息。
采集脚本具体代码如下,主要采集以下目录下的文件:
" />
然后自动生成docker-compose.yml文件,实现一键创建docker容器。
malbox.sh脚本运行几秒后,即可将所有病毒项打包,生成文件malbox.tar.gz。
在本地解压malbox.tar.gz,malbox目录下收录
Docker环境所需的文件系统和配置文件。docker-compose.yml的作用是映射关键目录,模拟恶意命令的执行。运行前需要自定义docker-compose.yml的信息,填写病毒家族名称,以及启动时运行的命令(可以参考ps.txt和netstat.txt填写病毒进程命令需要模拟)。
修改后使用docker-compose up -d 命令一键部署容器,查看容器列表。如果出现startmienr_2010,说明容器运行成功。
恶意软件容器使用的基础镜像是malbox,在ubuntu镜像的基础上增加了一些恶意软件常用的命令和服务(wget、curl、ssh、crontab等),以达到更好的模拟效果。
使用docker exec -it startminer_2010 /bin/bash命令进入容器。此时的环境与中毒主机几乎相同,可以在该环境下进行排查分析。
" />
查看进程,也可以清晰的看到恶意下载进程和CPU占用率极高的挖矿进程。
容器中的 syslog 和 audit.log 日志也有助于研究人员追踪整个恶意软件攻击链的来源。
审计可以使用自定义规则根据ATT&CK矩阵对可疑行为进行监控和分类。
总结
模拟的恶意软件容器易于构建和部署。如果有蜜网或EDR环境,容器也可以与之相连,更好地检测恶意流量和采集
恶意软件的恶意行为。
参考链接
解决方案:【安全工具】EPScan—资产收集及被动扫描检测工具
【安全工具】EPScan——资产采集
和被动扫描检测工具
原迅云机器人
迅云安全团队
迅云
寻云安全团队自2019年成立以来,一直致力于信息安全、应用安全、系统安全、硬件安全、工控安全、二进制安全、区块链安全等多个领域的研究和探索,并开发了实用的网络安全产品。
发表于
收录
在集合中
" />
0x01 简介
被动采集资产,自动进行SQL注入检测(插件自动Bypass)、XSS检测、RCE检测、敏感信息检测
0x02 程序介绍
0x03 程序截图
0x04参数教程
" />
一定要下载crt并安装证书,否则无法扫描到https
./EPScan -hUsage of /EPScan: -deep bool // 选择后开启,默认不开启,不开效率快但是误报微高 深入扫描(降低效率提高准确率) -pdelay string // 需带有http协议头,看例子 流量转发(程序的流量转发到指定端口,例如Burp的8080端口: http://127.0.0.1:8080) -pdir string // 加载指定目录下所有的插件,默认不进行Bypass 批量加载指定目录下的Bypass插件 -plist string // 查看插件信息,默认输出 "plus/" 目录下的插件信息 查看插件列表和详细信息 (default "plus/") -port string // 开启*敏*感*词*端口 *敏*感*词*端口配置 (default "8899") -ptest string // 测试指定插件效果 会输出原始Payload和处理后的Payload 插件测试 -run bool // 开始被动式扫描,例如:./EPScan -pdir plus/ -port 8899 -run 开始被动式扫描
开始被动扫描
一定要下载crt并安装证书,否则无法扫描到https
./EPScan -port 8899 -run
启动被动扫描并加载 Bypass 插件目录
./EPScan -pdir plus/ -port 8899 -run
0x05 插件写入
SQL注入绕过插件编写