野外采集恶意软件样本的工具的优势体现在哪？

　　野外采集恶意软件样本的工具的优势体现在哪？

　　ph0neutria 是一个直接来自野生采集 恶意软件样本的工具。并且采集的所有内容都会存储在Viper中，方便访问和管理。

　　该项目的灵感来自 Ragpicker（一种恶意软件爬虫工具）。相比之下，ph0neutria的优势主要体现在以下几点：

　　将抓取范围限制为仅经常更新且可靠的来源。

　　最大化单个指标的有效性。

　　提供单一可靠且组织良好的存储机制。

　　不要做 Viper 能做的事。

　　那么为什么该工具名为 ph0neutria？如果您了解巴西蜘蛛，那么您一定听说过一种名为“Phoneutria nigriventer”（外名巴西流浪蜘蛛）的巴西流浪蜘蛛。这种蜘蛛被2007年吉尼斯世界纪录誉为世界上最毒的动物。它们的爬行速度极快，腿上长着尖刺，而且它们有独特的红色螯合物，生气时会显露出来。查看详情：

　　来源

　　网址供稿：

　　Malc0de

　　马尔福

　　VX 保险库

　　开源情报。如有必要，会使用被动 DNS 生成域的最新 IP 列表，并通过 VirusTotal 查找最新的 IP 相关 URL。请注意，您一次只能查询一个源，并且不要超过 VirusTotal API 的请求限制。从每个来源获取的URL列表会通过evenshtein距离（Levinstein距离）过滤以减少相似项的数量并在自己的线程中处理。

　　AlienVault OTX

　　网络*敏*感*词*追踪器

　　DNS-BH

　　有效载荷安全（混合分析）

　　初丹

　　威胁专家

　　截图

　　

　　

　　

　　

　　

　　版本说明

　　0.6.0：Tor 代理需要 pysocks（pip install pysocks）和至少版本为 2.10.0 的 python 请求来支持 SOCKS

　　原因。

　　0.9.0：需要从 Phage Malware Tracker（私人项目）-VirusTotal API 密钥中提取的 OSINT 函数。更强大的现场文件检索功能。本地 URL 和哈希缓存（以减少 API 负载）。

　　0.9.1：V3 Viper API 已更新，不再与 V2 兼容。

　　安装

　　以下脚本将为我们安装 ph0neutria、Viper 和 Tor：

　　wget https://raw.githubusercontent.com/phage-nz/ph0neutria/master/install.sh

chmod +x install.sh

sudo ./install.sh

　　可选

　　配置额外的 ClamAV 签名：

　　cd /tmp

git clone https://github.com/extremeshok/clamav-unofficial-sigs

cd clamav-unofficial-sigs

cp clamav-unofficial-sigs.sh /usr/local/bin

chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh

mkdir /etc/clamav-unofficial-sigs

cp config/ /etc/clamav-unofficial-sigs

cd /etc/clamav-unofficial-sigs*

　　将 os..conf 重命名为 os.conf：

　　mv os.ubuntu.conf os.conf

　　修改配置文件：

　　master.conf：搜索“启用的数据库”并启用/禁用所需的源。

　　user.conf：取消注释已启用源所需的行。 user.conf 覆盖 master.conf。完成以下命令的设置后，必须取消注释 user_configuration_complete="yes" 才能使配置生效。

　　更多配置信息请参考：

　　mkdir /var/log/clamav-unofficial-sigs

clamav-unofficial-sigs.sh --install-cron

clamav-unofficial-sigs.sh --install-logrotate

clamav-unofficial-sigs.sh --install-man

clamav-unofficial-sigs.sh

cd /tmp/clamav-unofficial-sigs

cp systemd/* /etc/systemd

cd ..

rm -rf clamav-unofficial-sigs

　　此过程可能需要一段时间 - ClamAV 在此期间可能无法使用。

　　使用

　　在使用过程中，大家一定要做好自己的防护工作：

　　不要在没有其他匿名 VPN 可用时禁用 Tor。

　　在隔离的网络和专用硬件上运行。

　　在合适的沙箱中执行示例（参见：）。

　　监控您的 API 密钥是否被滥用。

　　确保 Tor 已启动：

　　service tor restart

　　启动 Viper API 和 Web 界面：

　　cd /opt/viper

sudo -H -u spider python viper-web

　　记下启动 Viper 时创建的管理员密码。使用此命令格式登录：/admin（默认：:8080/admin）并从令牌页面检索 API 令牌。

　　Viper 网页界面地址：（默认：8080)。

　　完整的配置文件在：/opt/ph0neutria/config/settings.conf

　　启动 ph0neutria：

　　cd /opt/ph0neutria

sudo -H -u spider python run.py

　　您可以随时按Ctrl+C终止操作，也可以随时启动。

　　如果你想每天运行一次，你可以在 /etc/cron.daily 中创建以下脚本：

　　#!/bin/bash

cd /opt/ph0neutria && sudo -H -u spider python run.py

　　已知问题

　　Viper 标签将被强制为小写（通过 Viper）。如果你觉得不舒服，那么你可以删除 viper/viper/core/database.py 中所有出现的 .lower() 。

　　参考

　　- MalShare API 文档

　　- Viper API 文档

　　- VirusTotal API 文档

　　- 有效负载安全 API 文档

　　- AlienVault OTX API 文档