精品-优秀PPT课件--Dionaea低交互式蜜罐调研.ppt

Dionaea低交互式蜜罐调研
代恒
Outline
Dionaea(捕蝇草)简介
安装和配置
工作机制
捕获实例
后续工作
Dionaea简介
Project的开源项目,起始于2009年,Nepenthes(猪笼草)项目的后继
目的:诱捕恶意攻击,得到恶意程序样本
低交互式蜜罐
安装和配置
安装
ubuntu下按照
注意确保前提模块安装成功
安装和配置
配置
默认配置文件opt/dionaea/etc/dionaea/
包括各种记录文件的位置,保存捕获结果的位置,监听IP,模拟网络服务的配置信息
安装和配置
配置
多ip支持
listen =
{
mode = "manual"
addrs = { eth0 = ["", "", "", ""] }
}
工作机制
服务
支持的协议类型和服务
SMB,http,ftp,tftp,MSSQL,SIP(VoIP)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 :80 :* LISTEN
tcp 0 0 :21 :* LISTEN
tcp 0 0 :1433 :* LISTEN
tcp 0 0 :443 :* LISTEN
tcp 0 0 :445 :* LISTEN
tcp 0 0 :135 :* LISTEN
tcp 0 0 :42 :* LISTEN
tcp6 0 0 fe80::20c:29ff:fe8f::80 :::* LISTEN
udp 0 0 :5060 :*
udp 0 0 :69 :*
工作机制
工作流程
提取网络IO数据
检测模块检测
(目前只有libemu)
Payload效仿
Shells - bind/connectback
URLDownloadToFile
Exec
Multi Stage Payloads
下载文件
工作机制
检测结果处理
事件数据库:
opt/dionaea/var/dionaea/var/dionaea/
输入输出流:
opt/dionaea/var/dionaea/var/dionaea/bistreams/
下载的文件:
opt/dionaea/var/dionaea/var/dionaea/binaries/
工作机制
检测结果处理
后期分析
提交第三方分析:支持以http/POST方式将文件提交到CWSandbox, Norman Sandbox ,VirusTotal等服务
支持分布式诱捕
支持其他模块协同,如p0f