Dorothy2是一款采用Ruby語言開發的惡意軟件/僵屍網絡分析框架,你可以使用Dorothy2框架來對可疑的二進制代碼進行分析。該框架的最大優勢就是其擁有非常靈活的模塊化環境,並且配備有專門針對網絡分析任務的可交互式調查框架。除此之外,它還可以通過對比此前生成的基線來識別新的進程。據了解,開發人員將在下一版本中添加兩大功能,即靜態代碼分析以及改進的系統行為分析。Dorothy2在對二進制文件進行分析時,需要使用預設置的分析配置文件。
這份分析配置文件主要有以下元素構成:沙箱系統類型
沙箱系統版本
沙箱系統語言
固定的分析超時時間(恢復虛擬機前需等待多久)
請求截圖的數量(以及截圖間隔時間)
可支持的插件和擴展
有了這份配置文件之後,研究人員就可以使用不同的環境來對二進制代碼集合進行分析了。大家也知道,某些惡意軟件只能在特定的環境下運行。一個計算機安全事件響應團隊(CSIRT)也可以使用配置文件在某一特定環境中測試可疑的惡意軟件。
Dorothy2框架主要由五大模塊組成,這些模塊均可以單獨運行。下面這張圖片顯示的是Dorothy2的框架結構圖,其中的各個模塊已相互連接:
1. 代碼讀取模塊(BFM)
該模塊負責從代碼源讀取出待測試的代碼。“代碼源”可以是系統文件夾、電子郵箱、或者是一台可以通過SSH訪問的網絡主機。當代碼全部讀入之後,BFM會將代碼加入分析隊列之中。
2. Dorothy分析引擎
該模塊通過在沙箱環境中執行待測試的代碼來分析隊列中的源碼,然後將測試生成的網絡流量和截圖保存分析文件夾中。
3. 網絡數據提取模塊(DEM)
該模塊負責解析pcaps文件,並將相關信息(流數據和IP信息等)保存至Dorothive之中。除此之外,它會將沙箱下載的文件提取出來,並將這些文件保存至代碼文件中的分析文件夾內。
4. WebGUI(WGUI)
該模塊可以將所有獲取到的數據以可交互的形式顯示出來。警告:這個模塊需要在受控環境下運行,作者強烈反對用戶將其暴露在網絡上。
5. TheJava Dorothy Drone(未發布)
6. 僵屍網絡滲透模塊(基本資料)
運行環境警告:當前版本的Dorothy使用了VMWareESX5來作為它的虛擬沙箱模塊(VSM)。因此,Dorothy不支持免費版的ESXi,因為它使用的是vSphere 5 API。但是,整個框架是可以進行自定義設置的,配置之後就可以使用其他的虛擬化引擎了。Dorothy2是一個高度模塊化的框架,用戶可以對其進行自定義設置和修改。
Dorothy的執行需要依賴於下列軟件:-VMWare ESX >= 5.0
-Ruby 1.9.3
-Postgres >= 9.0
-至少一台Windows虛擬機
-一台類Unix設備,用於網絡分析引擎(NAM)
-pcapr-local(用於doroParser)
-MaxMind代碼庫(用於doroParser)
操作系統要求:-Dorothy可以在任何*nix系統上運行。目前,它可以在OSX和Linux系統上完美運行。
-被用作沙箱環境的虛擬機系統必須是Windows。(建議使用XP)
框架安裝一、 設置ESX環境1. 基本設置(ssh)
-在vSphere中設置:
2. 設置兩個獨立的虛擬網絡
3. 配置Windows虛擬機
禁用Windows防火牆
安裝VMWare
配置靜態IP
配置完成之後,使用vSphere控制台創建一個沙箱虛擬機的快照。
4. 在vSphere中創建一個Unix虛擬機,用於NAM模塊
-安裝tcpdump和sudo
-為Dorothy創建一個專有用戶(例如“dorothy”)
-在dorothy用戶主目錄下創建一個文件夾,用於保存網絡數據
#su dorothy
$mkdir /home/dorothy/pcaps
-添加dorothy用戶權限
#visudo
add the following line:
dorothy ALL = NOPASSWD:/usr/sbin/tcpdump, /bin/kill, /usr/bin/killall
-如果你打算在Linux系統上安裝Dorothy,我建議你將pcapr和Dorothy gem安裝在同一虛擬機中。
-開啟couchdb服務器
-安裝pcapr-local
-配置並開啟pcapr-local,並配置用於保存網絡輸出數據的文件夾路徑
$startpcapr
....
Which directory would you like to scan for indexable pcaps?[/root/pcapr.Local/pcaps]
/home/dorothy/pcaps
除此之外,建議允許pcapr訪問所有的接口
-設置全部正確的話,你應該可以訪問下列url了
基本安裝-強烈建議用戶采用下圖所示的架構來安裝Dorothy框架。
2. 高級安裝-建議企業環境下的用戶采用下圖所示的架構進行安裝。
1. 安裝postgres
或
2. 安裝下列數據包
3. 如果你想要安裝pcapr的話,運行下列命令
1. 安裝Maxmind庫
-GeoLiteCity
-GeoLite ASN
-將GeoLiteCity.dat和GeoIPASNum.dat拷貝到Dorothy的etc/geo文件夾中
2.開啟Dorothy
3.按照下列順序進行配置
-環境變量(db和esx服務器等)
-Dorothy源(獲取新代碼)
-用於分析的ESX虛擬機
五、使用Dorothy1.將.exe或.bat文件拷貝到$yourdorothyhome/opt/bins/manual/
2.執行dorothy
Dorothy的使用:
Usage:
dorothy2 [options]
where [options] are:
--Version,-V: Print the current version.
--verbose,-v: Enable verbose mode
--infoflow,-i: Print the analysis flow
--baseline, -b<s>: Create a new processbaseline
--source, -s<s>: Choose a source (from theones defined in etc/sources.yml)
--CreateSource,-C: Create new source file
--daemon, -d<s>: (start|stop) Execute/killthe selected module (-W, -B, -A) in backround. If no modules are specified, itwill exec/kill all of them.
--debug,-e: Add extensive log trails
--manual,-m: Start everything, copy the file,and wait for me.
--SandboxUpdate,-S: Update Dorothive with the newSandbox file
--DorothiveInit, -D<s>: (RE)Install the DorothyDatabase (Dorothive)
--queue, -q: Show the analysis queue
--Analyser, -A: Execute only the Analyser Module (willanalalyse only the current queue)
--BFM, -B: Execute only the Binary Fetcher Module (BFM)
--DEM, -E: Execute only the network Data ExtationModule (DEM) aka doroParser
--WebGUI, -W: Execute the WebGUI Module (WGUI)
--help, -h: Show this message
執行樣例:
Dorothy2首次執行時,它會指引用戶對分析環境進行配置,相關配置步驟如下:
配置環境變量($home/.dorothy.yml)
配置BFM源($dorothyhome/etc/sources.yml)
配置沙箱環境($dorothyhome/etc/sandboxes.yml)
配置分析設置文件($dorothyhome/etc/profiles.yml)
配置步驟完成之後,用戶可以隨時修改和編輯配置文件。
許可證信息
GNU GENERAL PUBLIC LICENSE
Version 3, 29 June 2007
你會喜歡長按公眾號,可“置頂”
----------------------------------
要聞、干貨、原創、專業
關注“黑白之道” 微信:i77169
華夏黑客同盟我們堅持,自由,免費,共享!
