技术控

    今日:60| 主题:49101
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] Dorothy2:一个开源的僵尸网络分析框架

[复制链接]
活在當下 发表于 昨天 15:02
100 0

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

Dorothy2:一个开源的僵尸网络分析框架-1 (计算机安全,配置文件,虚拟机,结构图,二进制)

  框架介绍

  Dorothy2是一款采用Ruby语言开发的恶意软件/僵尸网络分析框架,你可以使用Dorothy2框架来对可疑的二进制代码进行分析。该框架的最大优势就是其拥有非常灵活的模块化环境,并且配备有专门针对网络分析任务的可交互式调查框架。除此之外,它还可以通过对比此前生成的基线来识别新的进程。据了解,开发人员将在下一版本中添加两大功能,即静态代码分析以及改进的系统行为分析。Dorothy2在对二进制文件进行分析时,需要使用预设置的分析配置文件。
  这份分析配置文件主要有以下元素构成:

  沙箱系统类型
  沙箱系统版本
  沙箱系统语言
  固定的分析超时时间(恢复虚拟机前需等待多久)
  请求截图的数量(以及截图间隔时间)
  可支持的插件和扩展
  有了这份配置文件之后,研究人员就可以使用不同的环境来对二进制代码集合进行分析了。大家也知道,某些恶意软件只能在特定的环境下运行。一个计算机安全事件响应团队(CSIRT)也可以使用配置文件在某一特定环境中测试可疑的恶意软件。
  Dorothy2框架主要由五大模块组成,这些模块均可以单独运行。下面这张图片显示的是Dorothy2的框架结构图,其中的各个模块已相互连接:
  


Dorothy2:一个开源的僵尸网络分析框架-2 (计算机安全,配置文件,虚拟机,结构图,二进制)

   1.  代码读取模块(BFM)
  该模块负责从代码源读取出待测试的代码。“代码源”可以是系统文件夹、电子邮箱、或者是一台可以通过SSH访问的网络主机。当代码全部读入之后,BFM会将代码加入分析队列之中。
   2.  Dorothy分析引擎
  该模块通过在沙箱环境中执行待测试的代码来分析队列中的源码,然后将测试生成的网络流量和截图保存分析文件夹中。
   3.  网络数据提取模块(DEM)
  该模块负责解析pcaps文件,并将相关信息(流数据和IP信息等)保存至Dorothive之中。除此之外,它会将沙箱下载的文件提取出来,并将这些文件保存至代码文件中的分析文件夹内。
   4.  WebGUI(WGUI)
  该模块可以将所有获取到的数据以可交互的形式显示出来。警告:这个模块需要在受控环境下运行,作者强烈反对用户将其暴露在网络上。
   5.  TheJava Dorothy Drone(未发布)
   6.  僵尸网络渗透模块( 基本资料 )
  运行环境

  警告:当前版本的Dorothy使用了VMWareESX5来作为它的虚拟沙箱模块(VSM)。因此,Dorothy不支持免费版的ESXi,因为它使用的是vSphere 5 API。但是,整个框架是可以进行自定义设置的,配置之后就可以使用其他的虚拟化引擎了。Dorothy2是一个高度模块化的框架,用户可以对其进行自定义设置和修改。
  Dorothy的执行需要依赖于下列软件:

  -VMWare ESX >= 5.0
  -Ruby 1.9.3
  -Postgres >= 9.0
  -至少一台Windows虚拟机
  -一台类Unix设备,用于网络分析引擎(NAM)
   - pcapr-local (用于doroParser)
  -MaxMind代码库(用于doroParser)
  操作系统要求:

  -Dorothy可以在任何*nix系统上运行。目前,它可以在OSX和Linux系统上完美运行。
  -被用作沙箱环境的虚拟机系统必须是Windows。(建议使用XP)
  框架安装

  一、  设置ESX环境

  1. 基本设置(ssh)
  -在vSphere中设置:
  [code]Configuration->SecurityProfile->Services->Proprieties->SSH->Options->Start and Stopwith host->Start->OK[/code]  2. 设置两个独立的虚拟网络
  3. 配置Windows虚拟机
  禁用Windows防火墙
  安装VMWare
  配置静态IP
  配置完成之后,使用vSphere控制台创建一个沙箱虚拟机的快照。
  4. 在vSphere中创建一个Unix虚拟机,用于NAM模块
  -安装tcpdump和sudo
  [code]#apt-get install tcpdump sudo[/code]  -为Dorothy创建一个专有用户(例如“dorothy”)
  [code]#useradd dorothy[/code]  -在dorothy用户主目录下创建一个文件夹,用于保存网络数据
  [code]#su dorothy
$mkdir /home/dorothy/pcaps[/code]  -添加dorothy用户权限
  [code]#visudo
add the following line:
dorothy  ALL = NOPASSWD:/usr/sbin/tcpdump, /bin/kill, /usr/bin/killall[/code]  -如果你打算在Linux系统上安装Dorothy,我建议你将pcapr和Dorothy gem安装在同一虚拟机中。
  [code]#apt-get install ruby1.9.3 rubygems  tshark zip couchdb[/code]  -开启couchdb服务器
  [code]#/etc/init.d/couchdb start[/code]  -安装pcapr-local
  [code]#gem install pcapr-local[/code]  -配置并开启pcapr-local,并配置用于保存网络输出数据的文件夹路径
  [code]$startpcapr
....
Which directory would you like to scan for indexable pcaps?[/root/pcapr.Local/pcaps]
/home/dorothy/pcaps[/code]  除此之外,建议允许pcapr访问所有的接口
  [code]What IP address should pcapr.Local run on? Use 0.0.0.0 to listenon all interfaces [127.0.0.1] 0.0.0.0[/code]  -设置全部正确的话,你应该可以访问下列url了
  [code]#apt-get install tcpdump sudo0[/code]  安装示例

   1.  基本安装-强烈建议用户采用下图所示的架构来安装Dorothy框架。
  

12下一页
友荐云推荐




上一篇:Keep on Tickin’ – Stay Efficient and Productive With TickTick, a Powerful To-D .
下一篇:Vuex下Store的模块化拆分实践
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表