快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

Ph0neutria:一款从田野采集恶意软件样本的工具

ph0neutria是一个直接从田野采集恶意软件样本的工具。并且其所有采集的内容都将被存储在Viper中,以便于走访以及治理。

该项目的灵感来源于Ragpicker(一款恶意软件爬虫工具)。而相比之下,ph0neutria的优势首要体现在下列几点:

将爬取的范围制约为仅经常更新且可靠的来源。

最大化个别指标的有用性。

提供单一可靠且构造优越的存储机制。

不做Viper可以实现的工作。

那么为什么将该工具命名为ph0neutria呢? 要是你对巴西的蜘蛛有了解的话,你一定听过一种被称为“Phoneutria nigriventer”(外文名Brazillian Wandering Spider)的巴西游走蜘蛛。这类蜘蛛在2007年全国吉尼斯记录书上,被誉为是全国上最毒的动物。其爬行的速率极快,它们的腿强健而带有尖刺,黑客漏洞,他们拥有与众不同的红色螯肢,会在气忿时将他们铺露出来。详见:https://en.wikipedia.org/wiki/Brazilian_wandering_spider

来源

URL feeds:

Malc0de

Malshare

VX Vault

OSINT。要是需要,被动DNS将被用于生成一个域的最新IP列表,并会通过VirusTotal查找与IP相干的最新URL。注意,一次只能查询一个源,不要超过VirusTotal API的要求制约范围。从每一个源获取到的URL列表都将由evenshtein distance(莱文斯坦距离)过滤,以缩小相似项目的数量,在他们本人的线程中进行处理。

AlienVault OTX

CyberCrime Tracker

DNS-BH

Payload Security (Hybrid Analysis)

Shodan

ThreatExpert

截图

Ph0neutria:一款从田野采集恶意软件样本的工具Ph0neutria:一款从田野采集恶意软件样本的工具Ph0neutria:一款从田野采集恶意软件样本的工具Ph0neutria:一款从田野采集恶意软件样本的工具Ph0neutria:一款从田野采集恶意软件样本的工具

版本说明

0.6.0:Tor代办署理需要pysocks(pip install pysocks)和最少版本不低于2.10.0的python requests,以支持SOCKS

理。

0.9.0:从Phage Malware Tracker(私有项目)中提取的OSINT功能 – 需要VirusTotal API密钥。更强盛的田野文件检索能力。内陆URL以及哈希缓存(以缩小API负载)。

0.9.1:已更新使用V3 Viper API,再也不兼容V2。

装置

下列脚本将为我们装置ph0neutria,Viper和Tor:

wget https://raw.githubusercontent.com/phage-nz/ph0neutria/master/install.sh
chmod +x install.sh
sudo ./install.sh

可选

设置额外的ClamAV署名:

cd /tmp
git clone https://github.com/extremeshok/clamav-unofficial-sigs
cd clamav-unofficial-sigs
cp clamav-unofficial-sigs.sh /usr/local/bin
chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh
mkdir /etc/clamav-unofficial-sigs
cp config/ /etc/clamav-unofficial-sigs
cd /etc/clamav-unofficial-sigs*

重命名os.<yourdistro>.conf为os.conf:

mv os.ubuntu.conf os.conf

修改设置文件:

master.conf:搜索“Enabled Databases”并启用/禁用所需的源。

user.conf:取销已启用源所需行的注释。user.conf笼盖master.conf。实现下列命令的配置后,你必须将user_configuration_complete=”yes”的注释取销才能使设置见效。

有关更多设置信息,请参阅:https://github.com/extremeshok/clamav-unofficial-sigs

mkdir /var/log/clamav-unofficial-sigs
clamav-unofficial-sigs.sh --install-cron
clamav-unofficial-sigs.sh --install-logrotate
clamav-unofficial-sigs.sh --install-man
clamav-unofficial-sigs.sh
cd /tmp/clamav-unofficial-sigs
cp systemd/* /etc/systemd
cd ..
rm -rf clamav-unofficial-sigs

这个过程可能需要守候一段时间 – 在此期间ClamAV可能没法使用。

使用

在使用的过程中,人人务必要做自身的维护工作:

在没有别的可用匿名VPN的情形下,切勿禁用Tor。

在隔离收集以及专用硬件上运行。

在合适的沙箱中执行样本(请参阅:https://github.com/phage-nz/malware-hunting/tree/master/sandbox)。

监控你的API密钥是否存在滥用的情形。

确保Tor已启动:

service tor restart

启动Viper API以及Web界面:

cd /opt/viper
sudo -H -u spider python viper-web

记下Viper启动时创建的治理员暗码。使用此命令格式登录http://<viper IP>:<viper port>/admin(默认为:http://127.0.0.1:8080/admin)并从Tokens页面中检索API token。

Viper web界面地址:http://<viper IP>:<viper port> (默认:http://127.0.0.1:8080)。

完备的设置文件在:/opt/ph0neutria/config/settings.conf

启动 ph0neutria:

cd /opt/ph0neutria
sudo -H -u spider python run.py

你可以随时按Ctrl+C来停止运行,你也能够随时启动它。

要是你希翼每天都运行一次,可以在/etc/cron.daily中创建下列脚本:

#!/bin/bash
cd /opt/ph0neutria && sudo -H -u spider python run.py

已知问题

Viper标签将被强制转换为小写(通过Viper)。要是你以为不习性的话,那么你可以在viper/viper/core/database.py中将所有出现的.lower()删除即可。

参考

http://malshare.com/doc.php - MalShare API 文档

http://viper-framework.readthedocs.io/en/latest/usage/web.html - Viper API 文档

https://developers.virustotal.com/v2.0/reference - VirusTotal API 文档

https://www.hybrid-analysis.com/apikeys/info - Payload Security API 文档

https://otx.alienvault.com/api - AlienVault OTX API 文档

 *参考来源:GitHub,FB 小编 secist 编译,

您可能还会对下面的文章感兴趣: