解决方案:Docker化自动采集&模拟恶意软件环境

优采云 发布时间: 2022-11-22 22:16

  解决方案:Docker化自动采集&模拟恶意软件环境

  概述

  一个真实的Linux恶意软件入侵环境往往收录

病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项,如果我们只获取单个病毒文件,很难还原出恶意软件的整个攻击环境,从而不便于对攻击链进行全面的研究分析和测试产品的安全能力。接下来介绍一种基于Docker的方法,可以自动采集并还原恶意软件的整个攻击场景,从而最大程度地模拟主机中毒的环境,方便后续恶意软件的研究和分析。

  这种方法的原理是利用bash脚本自动采集

中毒主机上的病毒项,然后打包到容器环境中,最后通过Docker在本地模拟运行。此时生成的Docker容器中收录

了一个完整的恶意软件环境。

  详细步骤

  下面以StartMiner(8220挖矿系列)中毒环境为例。通过命令可以看到主机中收录

恶意定时任务、病毒文件、病毒进程等信息。

  采集脚本具体代码如下,主要采集以下目录下的文件:

  

" />

  然后自动生成docker-compose.yml文件,实现一键创建docker容器。

  malbox.sh脚本运行几秒后,即可将所有病毒项打包,生成文件malbox.tar.gz。

  在本地解压malbox.tar.gz,malbox目录下收录

Docker环境所需的文件系统和配置文件。docker-compose.yml的作用是映射关键目录,模拟恶意命令的执行。运行前需要自定义docker-compose.yml的信息,填写病毒家族名称,以及启动时运行的命令(可以参考ps.txt和netstat.txt填写病毒进程命令需要模拟)。

  修改后使用docker-compose up -d 命令一键部署容器,查看容器列表。如果出现startmienr_2010,说明容器运行成功。

  恶意软件容器使用的基础镜像是malbox,在ubuntu镜像的基础上增加了一些恶意软件常用的命令和服务(wget、curl、ssh、crontab等),以达到更好的模拟效果。

  使用docker exec -it startminer_2010 /bin/bash命令进入容器。此时的环境与中毒主机几乎相同,可以在该环境下进行排查分析。

  

" />

  查看进程,也可以清晰的看到恶意下载进程和CPU占用率极高的挖矿进程。

  容器中的 syslog 和 audit.log 日志也有助于研究人员追踪整个恶意软件攻击链的来源。

  审计可以使用自定义规则根据ATT&CK矩阵对可疑行为进行监控和分类。

  总结

  模拟的恶意软件容器易于构建和部署。如果有蜜网或EDR环境,容器也可以与之相连,更好地检测恶意流量和采集

恶意软件的恶意行为。

  参考链接

  解决方案:【安全工具】EPScan—资产收集及被动扫描检测工具

  【安全工具】EPScan——资产采集

和被动扫描检测工具

  原迅云机器人

  迅云安全团队

  迅云

  寻云安全团队自2019年成立以来,一直致力于信息安全、应用安全、系统安全、硬件安全、工控安全、二进制安全、区块链安全等多个领域的研究和探索,并开发了实用的网络安全产品。

  发表于

  收录

在集合中

  

" />

  0x01 简介

  被动采集资产,自动进行SQL注入检测(插件自动Bypass)、XSS检测、RCE检测、敏感信息检测

  0x02 程序介绍

  0x03 程序截图

  0x04参数教程

  

" />

  一定要下载crt并安装证书,否则无法扫描到https

  ./EPScan -hUsage of /EPScan: -deep bool // 选择后开启,默认不开启,不开效率快但是误报微高 深入扫描(降低效率提高准确率) -pdelay string // 需带有http协议头,看例子 流量转发(程序的流量转发到指定端口,例如Burp的8080端口: http://127.0.0.1:8080) -pdir string // 加载指定目录下所有的插件,默认不进行Bypass 批量加载指定目录下的Bypass插件 -plist string // 查看插件信息,默认输出 "plus/" 目录下的插件信息 查看插件列表和详细信息 (default "plus/") -port string // 开启*敏*感*词*端口 *敏*感*词*端口配置 (default "8899") -ptest string // 测试指定插件效果 会输出原始Payload和处理后的Payload 插件测试 -run bool // 开始被动式扫描,例如:./EPScan -pdir plus/ -port 8899 -run 开始被动式扫描

  开始被动扫描

  一定要下载crt并安装证书,否则无法扫描到https

  ./EPScan -port 8899 -run

  启动被动扫描并加载 Bypass 插件目录

  ./EPScan -pdir plus/ -port 8899 -run

  0x05 插件写入

  SQL注入绕过插件编写

0 个评论

要回复文章请先登录注册


官方客服QQ群

微信人工客服

QQ人工客服


线