• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

Ph0neutria:一款从野外采集恶意软件样本的工具

脚本编程 SEO站长博客 4个月前 (08-01) 75次浏览 已收录 0个评论

摘要

ph0neutria 是一个直接从野外采集恶意软件样本的工具。并且其所有采集的内容都将被存储在 Viper 中,以便于访问和管理。

该项目的灵感来源于 Ragpicker(一款恶意软件爬虫工具)。而相比之下,ph0neutria 的优势主要体现在以下几点:

将爬取的范围限制为仅经常更新且可靠的来源。

最大化个别指标的有效性。

提供单一可靠且组织良好的存储机制。

不做 Viper 可以完成的工作。

那么为什么将该工具命名为 ph0neutria 呢? 如果你对巴西的蜘蛛有了解的话,你一定听过一种被称为“Phoneutria nigriventer”(外文名 Brazillian Wandering Spider)的巴西游走蜘蛛。这种蜘蛛在 2007 年世界吉尼斯记录书上,被誉为是世界上最毒的动物。其爬行的速度极快,它们的腿强壮而带有尖刺,他们拥有与众不同的红色螯肢,会在愤怒时将他们展露出来。详见:

   来源

URL feeds:

Malc0de

Malshare

VX Vault

OSINT。如果需要,被动 DNS 将被用于生成一个域的最新 IP 列表,并会通过 VirusTotal 查找与 IP 相关的最新 URL。注意,一次只能查询一个源,不要超过 VirusTotal API 的请求限制范围。从每个源获取到的 URL 列表都将由 evenshtein distance(莱文斯坦距离)过滤,以减少相似项目的数量,在他们自己的线程中进行处理。

AlienVault OTX

CyberCrime Tracker

DNS-BH

Payload Security (Hybrid Analysis)

Shodan

ThreatExpert

   截图

   版本说明

0.6.0:Tor 代理需要 pysocks(pip install pysocks)以及至少版本不低于 2.10.0 的 python requests,以支持 SOCKS

理。

0.9.0:从 Phage Malware Tracker(私有项目)中提取的 OSINT 功能 – 需要 VirusTotal API 密钥。更强大的野外文件检索能力。本地 URL 和哈希缓存(以减少 API 负载)。

0.9.1:已更新使用 V3 Viper API,不再兼容 V2。

   安装

以下脚本将为我们安装 ph0neutria,Viper 以及 Tor:

   wget install.sh chmod +x install.sh sudo ./install.sh 可选

配置额外的 ClamAV 签名:

   cd /tmp git clone https: cd clamav-unofficial-sigs cp clamav-unofficial-sigs.sh /usr/local/bin chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh mkdir /etc/clamav-unofficial-sigs cp config/ /etc/clamav-unofficial-sigs cd /etc/clamav-unofficial-sigs*

重命名 f 为 os.conf:

   mv os.ubuntu.conf os.conf

修改配置文件:

master.conf:搜索“Enabled Databases”并启用/禁用所需的源。

user.conf:取消已启用源所需行的注释。user.conf 覆盖 master.conf。完成以下命令的设置后,你必须将 user_configuration_complete=”yes”的注释取消才能使配置生效。

有关更多配置信息,请参阅:

   mkdir /var/log/clamav-unofficial-sigs clamav-unofficial-sigs.sh –install-cron clamav-unofficial-sigs.sh –install-logrotate clamav-unofficial-sigs.sh –install-man clamav-unofficial-sigs.sh cd /tmp/clamav-unofficial-sigs cp systemd/* /etc/systemd cd .. rm -rf clamav-unofficial-sigs

这个过程可能需要等待一段时间 – 在此期间 ClamAV 可能无法使用。

   使用

在使用的过程中,大家务必要做自身的保护工作:

在没有其它可用匿名 VPN 的情况下,切勿禁用 Tor。

在隔离网络和专用硬件上运行。

在合适的沙箱中执行样本(请参阅:)。

监控你的 API 密钥是否存在滥用的情况。

确保 Tor 已启动:

   service tor restart

启动 Viper API 和 Web 界面:

   cd /opt/viper sudo -H -u spider python viper-web

记下 Viper 启动时创建的管理员密码。使用此命令格式登录(默认为:)并从 Tokens 页面中检索 API token。

Viper web 界面地址:默认:。

完整的配置文件在:f

启动 ph0neutria:

   cd /opt/ph0neutria sudo -H -u spider python run.py

你可以随时按 Ctrl+C 来终止运行,你也可以随时启动它。

如果你希望每天都运行一次,可以在/etc/cron.daily 中创建以下脚本:

   #!/bin/bash cd /opt/ph0neutria sudo -H -u spider python run.py

已知问题

Viper 标签将被强制转换为小写(通过 Viper)。如果你觉得不习惯的话,那么你可以在viper/viper/core/database.py 中将所有出现的.lower()删除即可。

参考

文档

文档

文档

文档

文档 weinxin


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Ph0neutria:一款从野外采集恶意软件样本的工具
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址