Вопрос или проблема
Я пытаюсь настроить лабораторию для анализа вредоносного ПО. Она будет состоять из двух виртуальных машин (Linux и Windows): Windows будет использоваться для запуска вредоносного ПО, а Linux VM будет мониторить сетевой трафик. Linux VM будет действовать как маршрутизатор, но вместо маршрутизации на WAN он просто будет принимать запросы и пересылать поддельные данные (например, если Windows VM запрашивает веб-страницу, он будет возвращать некоторый HTML). Было бы здорово, если бы он также (если это возможно) переводил IP-адреса в домены. Я ищу инструмент командной строки, который мог бы это сделать. Но пока я не нашел ни одного, который соответствовал бы моим потребностям.
Ответ или решение
Для создания лаборатории по анализу вредоносного программного обеспечения (вирусов), которая включает в себя две виртуальные машины (VM) – Windows и Linux, необходимо подобрать подходящий инструмент для симуляции маршрутизатора, выполняющего функции мониторинга и управления сетевым трафиком. Ваша задача состоит в том, чтобы Linux VM имитировал маршрутизатор, обрабатывающий запросы из Windows VM и возвращающий поддельные данные, включая преобразование IP-адресов в домены.
Решение
Одним из наиболее подходящих CLI инструментов для реализации подобной задачи является mitmproxy. Этот инструмент позволяет перехватывать, анализировать и изменять HTTP и HTTPS трафик. Ниже приведены основные функции, которые делают mitmproxy отличным выбором:
-
Перехват трафика: mitmproxy может быть настроен таким образом, чтобы действовать как прокси-сервер, принимая запросы от Windows VM и возвращая заранее подготовленные ответы. Это позволяет вам имитировать ответ от веб-серверов.
-
Изменение ответов: Вы можете настроить mitmproxy для отправки поддельных данных в ответ на запросы. Например, если Windows VM запрашивает конкретную веб-страницу, вы можете вернуть HTML-шаблон с нужным содержимым.
-
Преобразование IP-адресов в домены: Mitmproxy также поддерживает возможности перенаправления запросов. Вы можете создавать правила, которые будут автоматически преобразовывать IP-адреса в доменные имена на основании заданного вами списка.
Установка и настройка mitmproxy
-
Установка: Для установки mitmproxy на Linux VM используйте следующую команду:
sudo apt install mitmproxy -
Запуск прокси-сервера: После успешной установки вы можете запустить mitmproxy следующим образом:
mitmproxy --mode reverse:http://localhost:8080Это позволит mitmproxy перехватывать запросы и подставлять ответы.
-
Конфигурация Windows VM: Убедитесь, что Windows VM настроен на использование Linux VM в качестве прокси. Для этого перейдите в настройки сети и задайте IP-адрес Linux VM как прокси-сервер.
-
Создание правил для ответов: Вы можете написать скрипт на Python с использованием API mitmproxy для обработки запросов и возврата поддельных данных. Например, это может выглядеть так:
from mitmproxy import http def request(flow: http.HTTPFlow) -> None: if "example.com" in flow.request.pretty_url: flow.response = http.Response.make( 200, # статус код b"<html><body><h1>Fake Response</h1></body></html>", # тело ответа {"Content-Type": "text/html"} # заголовки ) -
Управление IP-адресами и доменными именами: Если вы хотите обрабатывать преобразования IP в домены, вам следует поддерживать соответствующий маппинг в вашем скрипте.
Заключение
Mitmproxy представляет собой мощный и гибкий инструмент для создания среды для анализа вредоносного ПО. Его возможности по перехвату, изменению и мониторингу сетевого трафика позволят вам эффективно изучать поведение вредоносных программ в контролируемом окружении. Применяя данный инструмент в сочетании с вашим сетевым окружением, вы сможете глубже понять механизмы работы вредоносного ПО и их взаимодействие с сетью.
Обязательно выполните тестирование конфигурации и убедитесь, что ваша среда безопасна для анализа, чтобы избежать распространения вредоносных кодов. Мы рекомендуем также регулярно обновлять инструменты, чтобы оставаться в курсе новейших тенденций в области кибербезопасности.