解决方案:Docker化自动采集&模拟恶意软件环境

　　解决方案:Docker化自动采集&模拟恶意软件环境

　　概述

　　一个真实的Linux恶意软件入侵环境往往收录

病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项，如果我们只获取单个病毒文件，很难还原出恶意软件的整个攻击环境，从而不便于对攻击链进行全面的研究分析和测试产品的安全能力。接下来介绍一种基于Docker的方法，可以自动采集并还原恶意软件的整个攻击场景，从而最大程度地模拟主机中毒的环境，方便后续恶意软件的研究和分析。

　　这种方法的原理是利用bash脚本自动采集

中毒主机上的病毒项，然后打包到容器环境中，最后通过Docker在本地模拟运行。此时生成的Docker容器中收录

了一个完整的恶意软件环境。

　　详细步骤

　　下面以StartMiner（8220挖矿系列）中毒环境为例。通过命令可以看到主机中收录

恶意定时任务、病毒文件、病毒进程等信息。

　　采集脚本具体代码如下，主要采集以下目录下的文件：

" />

　　然后自动生成docker-compose.yml文件，实现一键创建docker容器。

　　malbox.sh脚本运行几秒后，即可将所有病毒项打包，生成文件malbox.tar.gz。

　　在本地解压malbox.tar.gz，malbox目录下收录

Docker环境所需的文件系统和配置文件。docker-compose.yml的作用是映射关键目录，模拟恶意命令的执行。运行前需要自定义docker-compose.yml的信息，填写病毒家族名称，以及启动时运行的命令（可以参考ps.txt和netstat.txt填写病毒进程命令需要模拟）。

　　修改后使用docker-compose up -d 命令一键部署容器，查看容器列表。如果出现startmienr_2010，说明容器运行成功。

　　恶意软件容器使用的基础镜像是malbox，在ubuntu镜像的基础上增加了一些恶意软件常用的命令和服务（wget、curl、ssh、crontab等），以达到更好的模拟效果。

　　使用docker exec -it startminer_2010 /bin/bash命令进入容器。此时的环境与中毒主机几乎相同，可以在该环境下进行排查分析。

" />

　　查看进程，也可以清晰的看到恶意下载进程和CPU占用率极高的挖矿进程。

　　容器中的 syslog 和 audit.log 日志也有助于研究人员追踪整个恶意软件攻击链的来源。

　　审计可以使用自定义规则根据ATT&CK矩阵对可疑行为进行监控和分类。

　　总结

　　模拟的恶意软件容器易于构建和部署。如果有蜜网或EDR环境，容器也可以与之相连，更好地检测恶意流量和采集

恶意软件的恶意行为。

　　参考链接

　　解决方案:【安全工具】EPScan—资产收集及被动扫描检测工具

　　【安全工具】EPScan——资产采集

和被动扫描检测工具

　　原迅云机器人

　　迅云安全团队

　　迅云

　　寻云安全团队自2019年成立以来，一直致力于信息安全、应用安全、系统安全、硬件安全、工控安全、二进制安全、区块链安全等多个领域的研究和探索，并开发了实用的网络安全产品。

　　发表于

　　收录

在集合中

" />

　　0x01 简介

　　被动采集资产，自动进行SQL注入检测（插件自动Bypass）、XSS检测、RCE检测、敏感信息检测

　　0x02 程序介绍

　　0x03 程序截图

　　0x04参数教程

" />

　　一定要下载crt并安装证书，否则无法扫描到https

　　./EPScan -hUsage of /EPScan: -deep bool // 选择后开启，默认不开启，不开效率快但是误报微高 深入扫描（降低效率提高准确率） -pdelay string // 需带有http协议头，看例子 流量转发（程序的流量转发到指定端口，例如Burp的8080端口: http://127.0.0.1:8080) -pdir string // 加载指定目录下所有的插件，默认不进行Bypass 批量加载指定目录下的Bypass插件 -plist string // 查看插件信息，默认输出 "plus/" 目录下的插件信息 查看插件列表和详细信息 (default "plus/") -port string // 开启*敏*感*词*端口 *敏*感*词*端口配置 (default "8899") -ptest string // 测试指定插件效果 会输出原始Payload和处理后的Payload 插件测试 -run bool // 开始被动式扫描，例如：./EPScan -pdir plus/ -port 8899 -run 开始被动式扫描

　　开始被动扫描

　　一定要下载crt并安装证书，否则无法扫描到https

　　./EPScan -port 8899 -run

　　启动被动扫描并加载 Bypass 插件目录

　　./EPScan -pdir plus/ -port 8899 -run

　　0x05 插件写入

　　SQL注入绕过插件编写