-
-
[原创]搭建网络虚拟环境
-
发表于: 2020-11-21 11:18 6971
-
在分析样本的时,有时会发现样本连接的恶意IP已经失活,需要伪装恶意IP来查看其网络行为,又或者由于样本有扫描等行为,需要获取网络流量,就可以设置这样的分析环境,将所有的网络行为转发到我们自己搭建的服务器上。这样既可以捕获到网络流量,又可以避免扫描到内网的其他机器。
需要创建一个服务器的虚拟机及一个Linux的受害机(可以使用Ubuntu,Kali有些问题),一个Windows的受害机。
INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。
安装INetSim的方法有多种,最简单的方法就是运行以下命令来安装(在服务器中)。
```
$ sudo su
$ echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
$ wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
$ apt update
$ apt install inetsim
```
注意:想要在服务器中复制粘贴这些命令,请选择 设备>共享剪贴板>双向 进行设置。
我们要建立一个包含三个虚拟机的隔离网络。此网络将无Internet访问。此外,我们希望服务器充当受害者机器的网络网关,以便能够轻松拦截网络流量并模拟各种服务,如DNS或HTTP。
打开VM的编辑-虚拟网络编辑器,添加一个新的网络(新增的是VMnet2)
将服务器及两个受害机的网络适配器都改为新增的网络
使用 ifconfig
,查看接口名(enp0s3改为接口名)
以root身份打开文件/etc/network/interfaces,在末尾添加以下内容:
```
auto eth0
iface eth0 inet static
address 10.0.0.1
netmask 255.255.255.0
```
这将在我们的虚拟网络上为机器分配静态IP 10.0.0.1。 现在我们已经配置了网络接口,我们使用以下命令来启动它:
```
sudo ifup eth0
sudo service networking restart
```
修改INetSim配置文件,/etc/inetsim/inetsim.conf
默认情况下,INetSim仅侦听本地接口。为了使其支持我们虚拟网络中的所有机器,我们需要将刚刚复制的配置文件中的以下行:#service_bind_address 10.0.0.1
替换为:service_bind_address 0.0.0.0
默认情况下,INetSim的DNS服务器会将所有域名解析为127.0.0.1。我们希望任何域名解析为10.0.0.1(分析机IP); 取消以下行注释:#dns_default_ip 10.0.0.1
这里的过程非常相似,只是我们将为它分配静态IP 10.0.0.2,并指示它使用10.0.0.1作为网关和DNS服务器。在文件/etc/network/interfaces的末尾附加以下内容:
```
auto enp0s3
iface enp0s3 inet static
address 10.0.0.2
gateway 10.0.0.1
netmask 255.255.255.0
dns-nameservers 10.0.0.1
```
还需要修改一下这个文件 /etc/resolv.conf
将其 dns 修改为 10.0.0.1
并运行:
```
sudo ifup enp0s3
sudo service networking restart
```
现在应该能够ping通分析机:
```
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.480 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.526 ms
```
右键单击任务栏中的网络图标(或转到“开始”菜单>“控制面板”>“网络和Internet”>“网络和共享中心”),单击“本地连接2”>“属性”,选中“Internet协议版本4”,然后单击属性按钮。
我们将静态IP 10.0.0.3分配给机器,其余部分配置与Ubuntu受害者机器类似。
确保验证设置(单击 确定,应用等,直到所有设置窗口都消失)。现在应该可以ping通服务器:
```
ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
```
配置好之后,将纯净的无病毒的虚拟机创建快照,以便以后进行分析。
## 运行测试
服务器中打开INetSim,受害机进行测试,成功。
Windows
Ubuntu
如果是上图所示,只需要转发端口即可 iptables -t nat -A PREROUTING -p tcp --dport 48080 -j REDIRECT --to-ports 80
在服务器中使用 iptables -t nat -A PREROUTING -i eth0 -j REDIRECT
这个命令,是转发网卡的,
有一些使用了上面的命令也不能找到,只能使用原先的办法(环回适配器)。
- 无法启动网络接口
- 第一种情况(interfaces文件中网络接口名与原网络接口名相同)
```
sudo ifup eth0
sudo service networking restart
```
如果上述两条指令无法执行,可以执行下面的指令
```
sudo ifconfig eth0 down #取消网卡 eth0 的 ip 地址
sudo ifdown eth0 #用 ifdown 来确认是否已成功取消
sudo ifconfig eth0 up #重新启用该网卡的 ip
```
- 第二种情况
修改interfaces文件中网络接口名,使得其与原网络接口名相同 。
赞赏
- [原创]浅析Emotet银行木马 9054
- [原创]搭建网络虚拟环境 6972
- [原创]浅析一个海莲花样本 7823
- [原创]简析"千层饼"式伪装方式的病毒 7372
- [原创]索然无味的勒索病毒 8927