回归最本质的信息安全

下一代动态网络分析工具FakeNet-NG的Linux平台初体验

2017年7月17日发布

12,593
0
2

导语:FakeNet-NG允许安全分析人员在Windows和Linux主机上使用标准或自定义协议来观察网络应用程序并与其进行交互,这对恶意软件分析和逆向工程特别有用。

backbox-menu.preview.png

在2016年,FLARE推出了一款用Python编写的开源网络分析工具FakeNet-NG。 FakeNet-NG允许安全分析人员在单个Windows主机上使用标准或自定义协议来观察网络应用程序并与其进行交互,这对恶意软件分析和逆向工程特别有用。自从FakeNet-NG的推出以来,FLARE又对其进行了一些升级,比如增加了对附加协议的支持。 FakeNet-NG现在具有DNS,HTTP(包括BITS),FTP,TFTP,IRC,SMTP,POP,TCP和UDP以及SSL的即用支持。

不过更令分析人员高兴的是,FLARE现在已将FakeNet-NG引入Linux。这允许分析人员在单个Linux主机上执行基本动态分析,或者在独立的专用设备上使用INetSim搭建虚拟网络环境。虽然INetSim目前仍然是许多分析师的首选工具,但随着FakeNet-NG的兴起,分析师又多了一个用于恶意软件分析的跨平台工具,FakeNet-NG可以直接与所有在安全领域不断出现的基于Python的信息工具进行集成。

在Linux上下载和安装FakeNet-NG

如果你正在运行REMnux,那么就可以直接安装FakeNet-NG了,现有用户可以通过运行update-remnux命令来获取它。

而对于其他Linux版本来说,设置和使用FakeNet-NG将需要Python pip包管理器,net-tools包以及OpenSSL,libffi和libnetfilterqueue的开发文件。至于如何快速获得几个常见的Linux发行版的相应先决条件,我们提供了以下两大方法:

1. 在Debian和Ubuntu上,运行sudo apt-get install python-pip python-dev libssl-dev libffi-dev libnetfilter-queue-dev net-tools命令

2. 在Fedora 25和CentOS 7上:

yum -y update;
yum -y install epel-release; # <-- If CentOS
yum -y install redhat-rpm-config; # <-- If Fedora
yum -y groupinstall 'Development Tools'; yum -y install python-pip python-devel openssl-devel libffi-devel                 libnetfilter_queue-devel net-tools

一旦你的设备满足了这些条件,就可以下载最新版本的FakeNet-NG,并使用setup.py install进行安装。

Windows和Linux下的FakeNet-NG支持

在Linux上,FakeNet-NG可以在专用于网络仿真的单独主机上以MultiHost模式部署,也可以在实验中使用SingleHost模式进行本地分析软件。 Windows仅支持SingleHost模式,默认情况下,FakeNet-NG配置运行在NetworkMode:Auto中,它将在Windows上自动选择Windows或MultiHost模式下的SingleHost模式。下表列出了操作系统当前支持的NetworkMode设置。

360反馈意见截图16331203151013.jpg

FakeNet-NG对Linux上SingleHost模式的支持目前存在局限性。

首先,FakeNet-NG还不支持在Linux上对特定进程,主机或端口进行条件重定向,这意味着像ProcessWhiteList这样的设置将无法正常运行,所以开发人员计划在以后的版本中添加对这些设置的支持。同时,SingleHost模式支持将所有互联网绑定的流量重定向到本地监控器,这也是恶意软件分析人员的主要用例。

其次,python-netfilterqueue库被硬编码,以处理长度不超过4012个八位字节的数据报。环回接口通常配置有最大传输单元(MTU)设置,以允许某些应用程序超过此硬编码限制,从而导致意外的网络行为。可能由此引起异常的网络应用程序的示例将通过FTP的大型文件传输,因而对这个问题的解决方法就是重新编译具有较大缓冲区大小的python-netfilterqueue或将环回接口即lo的MTU降低到4012或更小。

在Linux上配置FakeNet-NG

除了新的NetworkMode设置外,对FakeNet-NG的Linux支持还引入了以下Linux特定的配置项:

1.LinuxRedirectNonlocal,对于MultiHost模式来说,此设置指定以逗号分隔的网络接口列表,将所有流量重定向到本地主机,以便FakeNet-NG能够对其进行回复。 FakeNet-NG的默认配置设置为*,它将FakeNet-NG配置为在所有接口上重定向。

2.LinuxFlushIptables,在为FakeNet-NG添加规则之前,LinuxFlushIptables配置项会删除所有的iptables规则。原始规则作为FakeNet-NG关闭序列的一部分进行恢复,当你按Ctrl + C时,它就会被触发。这样可以减少出现意外终止的冲突,错误或重复规则的可能性,并在FakeNet-NG的默认配置中启用。

3.LinuxFlushDnsCommand,该配置项会指定刷新DNS解析器缓存的命令。当在Linux上以SingleHost模式使用FakeNet-NG时,可以确保将名称解析请求转发到DNS服务,如FakeNet-NG DNS监控器,而不是使用缓存的回复。不过LinuxFlushDnsCommand配置项不适用于所有Linux版本,但在默认情况下可以使用Ubuntu Linux的正确命令填充。

在Linux上启动FakeNet-NG

在使用FakeNet-NG之前,请确保禁用那些可能绑定到你计划使用的FakeNet-NG监控器对应端口的任何服务,比如Ubuntu使用本地dnsmasq服务。你可以使用netstat来查找这些服务,并且应该参考你当下使用的Linux版所发行的文档来确定如何禁用它们。

你可以通过使用root权限调用fakeet启动FakeNet-NG,如下图所示。

Fig1.png

你可以通过直接编辑FakeNet-NG输出第一行显示的文件,或者使用-c命令行选项创建副本并指定其位置来更改FakeNet-NG的配置。

总结

FakeNet-NG现在为Linux提供了一种基于Python的恶意软件动态网络分析工具,同时也支持FakeNet-NG 在 Windows上使用监控器。 REMnux的用户可以直接使用FakeNet-NG,而其他Linu的用户可以使用标准的软件包管理工具进行下载和安装。

本文翻译自https://www.fireeye.com/blog/threat-research/2017/07/linux-support-for-fakenet-ng.html,如若转载,请注明原文地址: http://www.4hou.com/technology/6143.html

点赞 2
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

xiaohui

嘶吼编辑

发私信

发表评论