2011年11月24日 星期四

nepenthes的設定、安裝與cwsandbox分析結果

這個是2009年做的簡報檔,整理了一下放上來。(圖太小的話就點一下,會變大圖)
由於是從簡報轉檔的,因此會比較不美觀,請多加見諒。

不過這一篇不講架構,單純只是作一個記錄而已。

先做一個簡單的 honeyd和nepenthes的比較。
















這邊就簡單的用Ubuntu 試範一下如何安裝及設定:















當然就是無腦的 apt-get install nepenthes



接著我們示範一下怎麼上傳 bin檔至sandbox進行後續分析:















不會特別的困難,
首先編輯 /etc/nepenthes/nepenthes.conf 這個設定檔。
接著將 submitnorman.so 這一行前面的 //  給刪掉
最後接著找到email這一行,把雙引號裡面改成你的e-mail就可以了

當然,請別忘了存檔。

然後,就可以重啟您的nepenthes了。
我用的是Ubuntu,所以指令理所當然的是:
/etc/init.d/nepenthes restart

不過我的簡報檔不曉得丟去哪了,因此剩下的用口述的。

之後,你的nepenthes就會開始誘補別人,為什麼叫誘補呢?因為他會模擬很多已知的漏洞。自然就會有人想要進來看看。

來貼一張LOG圖,重點是我用紅色框起來的部份。代表有人成功的利用某漏洞把程式丟上來。


nepenthes 會開一個folder來收這些檔案:/var/lib/nepenthes/binaries/

不過你其實可以不用理它,只要你的電腦能上網的話,他會自動幫你把這些病毒丟去sandbox去做分析。在沒有特別設定的狀況下,丟的會是cwsandbox。

 在檔案成功的上傳之後,在不久後(我印象中很少超過兩週),就會收到cwsandbox寄來的信,你可以透過他的連結去看分析結果。

不過後來 cwsandbox 有大改版,並且結合了VirusTotal
意思是說,它還會利用VirusTotal幫你分析這些被上傳的檔案有哪些毒或後門。


當時cwsandbox的輸出如下(意思是現在應該不一樣了)




我們來看比較有趣的部份:這一頁是講檔案,包含了哪些檔案被新增、哪些檔案被讀取還有哪些檔案被刪除了。

機碼的部份,改了哪些。這也是在分析病毒時很重要的。




這邊講的會去讀哪些DLL


這邊講的是和我之前的研究非常相關的C&C server是哪一台。還有他的IRC的帳號密碼及Channel是哪一個。(可以看出這一個病毒是殭屍網路的一環)




看到這裡,如果你不是資安從事業者或者你比較少接觸這個領域,你可能會覺得:『哇!原來這個工具這麼好用喔,病毒無所遁形。我們的世界一定會更美好的』

不過讓人很遺憾的,病毒的作者都是高手,這些方法早就被視破了(我指的是sandbox)。而且API HOOK之類的技術也可以避開這些偵測手段。用sandbox能分析的大多是過時的技術和老扣扣的古董病毒。

同樣的nepenthes能騙到的也只是學藝不精的新手、或者是懶惰的老手、又或者靠工具的script boy(剛好和上一段呼應)。

要做好資訊安全,最重要的還是從人和人的操作行為著手。再好的技術和工具,都比不上電話裡洩露的資訊或者桌上記密碼的小紙條。共勉之。





沒有留言:

張貼留言