首页
论坛
课程
招聘
[原创]搭建网络虚拟环境
2020-11-21 11:18 1418

[原创]搭建网络虚拟环境

2020-11-21 11:18
1418

目录

搭建虚拟恶意软件分析环境

前言

在分析样本的时,有时会发现样本连接的恶意IP已经失活,需要伪装恶意IP来查看其网络行为,又或者由于样本有扫描等行为,需要获取网络流量,就可以设置这样的分析环境,将所有的网络行为转发到我们自己搭建的服务器上。这样既可以捕获到网络流量,又可以避免扫描到内网的其他机器。

创建虚拟机

需要创建一个服务器的虚拟机及一个Linux的受害机(可以使用Ubuntu,Kali有些问题),一个Windows的受害机。

分析机的设置:INetSim

INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。

 

安装INetSim的方法有多种,最简单的方法就是运行以下命令来安装(在服务器中)。

 

```
$ sudo su
$ echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
$ wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
$ apt update
$ apt install inetsim
```
注意:想要在服务器中复制粘贴这些命令,请选择 设备>共享剪贴板>双向 进行设置。

设置一个隔离的虚拟环境

我们要建立一个包含三个虚拟机的隔离网络。此网络将无Internet访问。此外,我们希望服务器充当受害者机器的网络网关,以便能够轻松拦截网络流量并模拟各种服务,如DNS或HTTP。

 

打开VM的编辑-虚拟网络编辑器,添加一个新的网络(新增的是VMnet2)

 

 

将服务器及两个受害机的网络适配器都改为新增的网络

 

服务器

使用 ifconfig,查看接口名(enp0s3改为接口名)

 

以root身份打开文件/etc/network/interfaces,在末尾添加以下内容:
```
auto eth0
iface eth0 inet static
address 10.0.0.1
netmask 255.255.255.0
```
这将在我们的虚拟网络上为机器分配静态IP 10.0.0.1。 现在我们已经配置了网络接口,我们使用以下命令来启动它:
```
sudo ifup eth0
sudo service networking restart
```

配置INetSim

修改INetSim配置文件,/etc/inetsim/inetsim.conf

 

默认情况下,INetSim仅侦听本地接口。为了使其支持我们虚拟网络中的所有机器,我们需要将刚刚复制的配置文件中的以下行:
#service_bind_address 10.0.0.1
替换为:
service_bind_address 0.0.0.0

 

默认情况下,INetSim的DNS服务器会将所有域名解析为127.0.0.1。我们希望任何域名解析为10.0.0.1(分析机IP); 取消以下行注释:
#dns_default_ip 10.0.0.1

Ubuntu受害者机器

这里的过程非常相似,只是我们将为它分配静态IP 10.0.0.2,并指示它使用10.0.0.1作为网关和DNS服务器。在文件/etc/network/interfaces的末尾附加以下内容:

 

```
auto enp0s3
iface enp0s3 inet static
address 10.0.0.2
gateway 10.0.0.1
netmask 255.255.255.0
dns-nameservers 10.0.0.1
```

 

还需要修改一下这个文件 /etc/resolv.conf
将其 dns 修改为 10.0.0.1

 

并运行:

 

```
sudo ifup enp0s3
sudo service networking restart
```

 

现在应该能够ping通分析机:

 

```
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.480 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.526 ms
```

Windows 7受害者机器

右键单击任务栏中的网络图标(或转到“开始”菜单>“控制面板”>“网络和Internet”>“网络和共享中心”),单击“本地连接2”>“属性”,选中“Internet协议版本4”,然后单击属性按钮。

 

我们将静态IP 10.0.0.3分配给机器,其余部分配置与Ubuntu受害者机器类似。

 

 

确保验证设置(单击 确定,应用等,直到所有设置窗口都消失)。现在应该可以ping通服务器:

 

```
ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
```

创建快照

配置好之后,将纯净的无病毒的虚拟机创建快照,以便以后进行分析。

 

## 运行测试

 

服务器中打开INetSim,受害机进行测试,成功。

 

Windows

 

 

Ubuntu

 

需开启恶意IP对应的端口

 

如果是上图所示,只需要转发端口即可 iptables -t nat -A PREROUTING -p tcp --dport 48080 -j REDIRECT --to-ports 80

 

在服务器中使用 iptables -t nat -A PREROUTING -i eth0 -j REDIRECT 这个命令,是转发网卡的,

 

有一些使用了上面的命令也不能找到,只能使用原先的办法(环回适配器)。

常见问题

- 无法启动网络接口
- 第一种情况(interfaces文件中网络接口名与原网络接口名相同)
```
sudo ifup eth0
sudo service networking restart
```
如果上述两条指令无法执行,可以执行下面的指令
```
sudo ifconfig eth0 down #取消网卡 eth0 的 ip 地址
sudo ifdown eth0 #用 ifdown 来确认是否已成功取消
sudo ifconfig eth0 up #重新启用该网卡的 ip
```
- 第二种情况
修改interfaces文件中网络接口名,使得其与原网络接口名相同 。


[招聘] 欢迎你加入看雪团队!

收藏
点赞2
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回