转载

Dorothy2:一个开源的僵尸网络分析框架

Dorothy2:一个开源的僵尸网络分析框架

框架介绍

Dorothy2是一款采用Ruby语言开发的恶意软件/僵尸网络分析框架,你可以使用Dorothy2框架来对可疑的二进制代码进行分析。该框架的最大优势就是其拥有非常灵活的模块化环境,并且配备有专门针对网络分析任务的可交互式调查框架。除此之外,它还可以通过对比此前生成的基线来识别新的进程。据了解,开发人员将在下一版本中添加两大功能,即静态代码分析以及改进的系统行为分析。Dorothy2在对二进制文件进行分析时,需要使用预设置的分析配置文件。

这份分析配置文件主要有以下元素构成:

沙箱系统类型

沙箱系统版本

沙箱系统语言

固定的分析超时时间(恢复虚拟机前需等待多久)

请求截图的数量(以及截图间隔时间)

可支持的插件和扩展

有了这份配置文件之后,研究人员就可以使用不同的环境来对二进制代码集合进行分析了。大家也知道,某些恶意软件只能在特定的环境下运行。一个计算机安全事件响应团队(CSIRT)也可以使用配置文件在某一特定环境中测试可疑的恶意软件。

Dorothy2框架主要由五大模块组成,这些模块均可以单独运行。下面这张图片显示的是Dorothy2的框架结构图,其中的各个模块已相互连接:

Dorothy2:一个开源的僵尸网络分析框架

1. 代码读取模块(BFM)

该模块负责从代码源读取出待测试的代码。“代码源”可以是系统文件夹、电子邮箱、或者是一台可以通过SSH访问的网络主机。当代码全部读入之后,BFM会将代码加入分析队列之中。

2. Dorothy分析引擎

该模块通过在沙箱环境中执行待测试的代码来分析队列中的源码,然后将测试生成的网络流量和截图保存分析文件夹中。

3. 网络数据提取模块(DEM)

该模块负责解析pcaps文件,并将相关信息(流数据和IP信息等)保存至Dorothive之中。除此之外,它会将沙箱下载的文件提取出来,并将这些文件保存至代码文件中的分析文件夹内。

4. WebGUI(WGUI)

该模块可以将所有获取到的数据以可交互的形式显示出来。警告:这个模块需要在受控环境下运行,作者强烈反对用户将其暴露在网络上。

5. TheJava Dorothy Drone(未发布)

6. 僵尸网络渗透模块( 基本资料 )

运行环境

警告:当前版本的Dorothy使用了VMWareESX5来作为它的虚拟沙箱模块(VSM)。因此,Dorothy不支持免费版的ESXi,因为它使用的是vSphere 5 API。但是,整个框架是可以进行自定义设置的,配置之后就可以使用其他的虚拟化引擎了。Dorothy2是一个高度模块化的框架,用户可以对其进行自定义设置和修改。

Dorothy的执行需要依赖于下列软件:

-VMWare ESX >= 5.0

-Ruby 1.9.3

-Postgres >= 9.0

-至少一台Windows虚拟机

-一台类Unix设备,用于网络分析引擎(NAM)

- pcapr-local (用于doroParser)

-MaxMind代码库(用于doroParser)

操作系统要求:

-Dorothy可以在任何*nix系统上运行。目前,它可以在OSX和Linux系统上完美运行。

-被用作沙箱环境的虚拟机系统必须是Windows。(建议使用XP)

框架安装

一、  设置ESX环境

1. 基本设置(ssh)

-在vSphere中设置:

Configuration->SecurityProfile->Services->Proprieties->SSH->Options->Start and Stopwith host->Start->OK

2. 设置两个独立的虚拟网络

3. 配置Windows虚拟机

禁用Windows防火墙

安装VMWare

配置静态IP

配置完成之后,使用vSphere控制台创建一个沙箱虚拟机的快照。

4. 在vSphere中创建一个Unix虚拟机,用于NAM模块

-安装tcpdump和sudo

#apt-get install tcpdump sudo

-为Dorothy创建一个专有用户(例如“dorothy”)

#useradd dorothy

-在dorothy用户主目录下创建一个文件夹,用于保存网络数据

#su dorothy
$mkdir /home/dorothy/pcaps

-添加dorothy用户权限

#visudo
add the following line:
dorothy  ALL = NOPASSWD:/usr/sbin/tcpdump, /bin/kill, /usr/bin/killall

-如果你打算在Linux系统上安装Dorothy,我建议你将pcapr和Dorothy gem安装在同一虚拟机中。

#apt-get install ruby1.9.3 rubygems  tshark zip couchdb

-开启couchdb服务器

#/etc/init.d/couchdb start

-安装pcapr-local

#gem install pcapr-local

-配置并开启pcapr-local,并配置用于保存网络输出数据的文件夹路径

$startpcapr
....
Which directory would you like to scan for indexable pcaps?[/root/pcapr.Local/pcaps]
/home/dorothy/pcaps

除此之外,建议允许pcapr访问所有的接口

What IP address should pcapr.Local run on? Use 0.0.0.0 to listenon all interfaces [127.0.0.1] 0.0.0.0

-设置全部正确的话,你应该可以访问下列url了

http//{ip-used-by-NAM}:8000

安装示例

1. 基本安装-强烈建议用户采用下图所示的架构来安装Dorothy框架。

Dorothy2:一个开源的僵尸网络分析框架

2. 高级安装-建议企业环境下的用户采用下图所示的架构进行安装。

Dorothy2:一个开源的僵尸网络分析框架

二、 安装依赖软件

1. 安装postgres 

$sudo apt-get install postgresql-9.1

http://www.postgresql.org/download/

2. 安装下列数据包 

$sudo apt-get install ruby1.9.3 rubygemspostgresql-server-dev-9.1 libxml2-dev libxslt1-dev libmagic-dev

3. 如果你想要安装pcapr的话,运行下列命令 

$sudo apt-get install tshark zip couchdb

三、 安装Dorothygem 

$ sudo gem install dorothy2

四、 配置并开启Dorothy

1. 安装Maxmind库

-GeoLiteCity

-GeoLite ASN

-将GeoLiteCity.dat和GeoIPASNum.dat拷贝到Dorothy的etc/geo文件夹中

2.开启Dorothy

$ dorothy_start –v

3.按照下列顺序进行配置

-环境变量(db和esx服务器等)

-Dorothy源(获取新代码)

-用于分析的ESX虚拟机

五、使用Dorothy

1.将.exe或.bat文件拷贝到$yourdorothyhome/opt/bins/manual/

2.执行dorothy

$ dorothy_start -v -s malwarefolder

Dorothy的使用:

Usage:
dorothy2 [options]
where [options] are:
        --Version,-V:   Print the current version.
        --verbose,-v:   Enable verbose mode
       --infoflow,-i:   Print the analysis flow
   --baseline, -b

  
   
 :   Create a new processbaseline
     --source, -s
 
   
    
  :   Choose a source (from theones defined in etc/sources.yml)
   --CreateSource,-C:   Create new source file
     --daemon, -d
  
    
     
   :   (start|stop) Execute/killthe selected module (-W, -B, -A) in backround. If no modules are specified, itwill exec/kill all of them.
          --debug,-e:   Add extensive log trails
         --manual,-m:   Start everything, copy the file,and wait for me.
  --SandboxUpdate,-S:   Update Dorothive with the newSandbox file
    --DorothiveInit, -D
   
     
      
    :   (RE)Install the DorothyDatabase (Dorothive)
    --queue, -q:   Show the analysis queue
    --Analyser, -A:   Execute only the Analyser Module (willanalalyse only the current queue)
    --BFM, -B:   Execute only the Binary Fetcher Module (BFM)
    --DEM, -E:   Execute only the network Data ExtationModule (DEM) aka doroParser
    --WebGUI, -W:   Execute the WebGUI Module (WGUI)
--help, -h:   Show this message

执行样例:

$dorothy2 -v -d start

Dorothy2首次执行时,它会指引用户对分析环境进行配置,相关配置步骤如下:

配置环境变量($home/.dorothy.yml)

配置BFM源($dorothyhome/etc/sources.yml)

配置沙箱环境($dorothyhome/etc/sandboxes.yml)

配置分析设置文件($dorothyhome/etc/profiles.yml)

配置步骤完成之后,用户可以随时修改和编辑配置文件。

许可证信息

GNU GENERAL PUBLIC LICENSE
  Version 3, 29 June 2007

* 参考来源: Dorothy2 ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文  http://www.freebuf.com/sectool/120560.html
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:686 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日05点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG