欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

使用VirtualBox,INetSim和Burp建立自己的恶意软件分析实验环境

来源:本站整理 作者:佚名 时间:2018-07-21 TAG: 我要投稿

在这篇文章中,我将使用VirtualBox,INetSim和Burp建立一个恶意软件分析实验环境。该环境将与与主机操作系统和Internet隔离,成为一个独立的虚拟网络。我们将在其中设置两个受害者虚拟机(Ubuntu和Windows 7)以及分析服务器,以模拟HTTP或DNS等常见Internet服务,以便于我们能够记录和分析任何Linux或Windows恶意软件的网络通信。这些恶意软件将在没有察觉的情况下,连接到我们的服务器而不是Internet。此外,我们将会以臭名昭着的TeslaCrypt勒索软件为例进行分析。这是一种现已不存在的勒索软件,从2015年到2016年中期感染了大量的系统。

1.创建虚拟机
以下是可用于下载Ubuntu和Windows 7虚拟机镜像的两个链接。
Ubuntu(受害者机器1和分析机):从OsBoxes下载Ubuntu 16.10 64 位(直接下载链接)
Windows 7(受害者机器2):从Microsoft Developer Website下载(选择IE 11 on Win 7 (x86)和VirtualBox)
提示:如果你已经拥有一个未使用的Ubuntu虚拟机,则只需克隆它并在后续步骤中重复使用即可(右键单击>Clone)。
在开始之前,请确保你有足够可用的磁盘空间(我的建议是至少10-20 GB)。
Ubuntu基本设置
OsBoxes为我们提供了一个即插即用的虚拟磁盘,我们只需简单地插入虚拟磁盘就可以立即使用。 首先我们来解压缩刚下载的文件。
$ 7za e Ubuntu_16.10_Yakkety-VB-64bit.7z
解压缩后你将获得一个虚拟磁盘的VDI文件。我们将从Ubuntu镜像的基本设置开始,然后克隆我们的两个Ubuntu虚拟机。
在VirtualBox中,创建一个新机器(单击New按钮),并将其命名为Ubuntu analysis(分析机)。然后,选择要分配的RAM大小。此时,VirtualBox将会询问你是否要创建新的虚拟硬盘,或使用已经存在的虚拟硬盘。选择“使用现有虚拟硬盘文件”,单击下拉列表右侧的目录图标,选择我们的VDI文件。
然后,我们启动虚拟机。默认密码是osboxes.org。
基本设置
默认键盘使用QWERTY布局。如果你不太习惯的话,可以通过Settings > Text Entry进行更改。
此外,你也可以使用以下命令更改默认密码:
$ passwd osboxes
更新软件包:
$ sudo apt-get update
$ sudo apt-get upgrade
安装 guest additions
在运行VM的窗口的菜单中选择Devices > Insert guest additions CD image。然后会询问你是否要运行安装程序; 选择 yes,并输入默认密码(默认情况下为osboxes.org)。安装完成后,关闭VM。
克隆
现在你已经有一个基本的Ubuntu VM,克隆它(在VirtualBox主界面右键点击 > Clone)。将克隆的Ubuntu命名为Ubuntu victim,并选中复选框初始化其MAC地址。克隆类型我们选择Full clone,以进行较为完整的克隆操作。

Windows 7 基本设置
之前提供的下载链接指向包含OVA文件的ZIP存档。与VDI文件不同,它不仅是虚拟磁盘,而且还是虚拟机(包括其虚拟磁盘)的完整描述,因此从中创建虚拟机所我们唯一需要做的事情就是选择File > Import Appliance在VirtualBox的主窗口。如果你的内存足够大,建议最好给它至少1024 MB的RAM。
导入完成后(这里可能需要等待几分钟),重命名Windows 7受害者虚拟机并启动它。
安装 guest additions
在运行VM的窗口的菜单中选择Devices > Insert guest additions CD image。然后从已插入的虚拟CD运行安装程序。安装完成后,关闭VM。
2.分析机的设置:INetSim,Burp
INetSim
INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。
安装INetSim的方法有多种,最简单的方法就是运行以下命令来安装(在分析机中)。
$ sudo su
$ echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
$ wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
$ apt update
$ apt install inetsim
注意:想要在分析机中复制粘贴这些命令,请选择 设备>共享剪贴板>双向 进行设置。
我们稍后会讨论如何使用INetSim。
Burp
INetSim虽说强大,但对SSL的支持却非常的有限。它附带了单一主机(inetsim.org)的证书,并且不支持动态生成SSL证书。这对于我们将会是一个问题,因为现在大多数恶意软件都使用SSL来加密其通信。因此,我们将使用Burp作为透明的SSL代理,它将位于受害者机器和INetSim的中间,对SSL流量进行拦截。当然,如果你现在并不需要拦截一些SSL流量的话,也可以不使用Burp。
Burp支持为我们的任何受害机器生成即时SSL证书。它还为我们创建了一个单根CA证书,我们稍后会在受害机器中导入。这样,我们就能拦截恶意软件发送的加密通信流量了。
你可以从官网下载Burp。下载是一个bash安装脚本,运行它来安装Burp:
$ bash ~/Downloads/burpsuite_free_linux_v1_7_23.sh
默认情况下,Burp可执行文件为~/BurpSuiteFree/BurpSuiteFree。
3.设置一个隔离的虚拟网络
我们要建立一个包含三个虚拟机的隔离网络。此网络将无Internet访问。此外,我们希望分析机充当受害者机器的网络网关,以便能够轻松拦截网络流量并模拟各种服务,如DNS或HTTP。
为了实现这一目标,我们将使用VirtualBox internal网络。对于熟悉VirtualBox的人来说,internal网络与host-only网络的不同之处在于,internal网络根本无法访问主机。

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载