将REMnux部署到云上,在云上完成恶意软件的逆向分析 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
2018-02-14 19:20:19 Author: www.freebuf.com(查看原文) 阅读量:103 收藏

clouds 3.jpg

REMnux是一个用于辅助逆向分析人员完成逆向分析任务的免费虚拟机镜像。其中包含了大量的逆向分析工具,可分析基于Web的恶意软件,如恶意的JavaScript,Java程序,和Flash文件。它也有工具可以分析恶意文档,如微软的Office和Adobe PDF文件,还有通过内存取证逆向病毒的实用工具。目前,REMnux由Lenny Zeltser维护,并得到了David Westcott的广泛支持与帮助,你可在https://remnux.org下载到它。我从当前版本镜像创建了一个Amazon AMI镜像,以便你在云中轻松创建REMnux实例。你可以在这里下载到我编写的DeployREMnux Python脚本。将你的Amazon账户访问密钥输入到配置,命令行的使用也非常简单:

python DeplyREMnux.py

成功执行上述命令后,输出信息将为我们显示通过SSH和RDP访问REMnux实例所需的信息。

image2.png

连接之后,你可以使用“update-remnux full”命令更新REMnux。或者,你也可以在部署的同时使用-u更新选项,命令如下:

python DeplyREMnux.py -u

在安装脚本之前,你必须确保你当前的Python版本为2.7。

第1步:安装Apache libcloud库和其他所需库。(在Windows上,你需要先安装Microsoft Visual C++编译器):

pip install apache-libcloud paramiko pycrypto

* Pip是Python自带的Python包管理器。如无法正常执行,你需要检查Python v2.7是否已被正确安装。在OS X上,你可能需要安装pip。在Windows上,则你可以在C:\Python27\Scripts目录中找到pip.exe程序。

第2步:生成一个SSH密钥对

在OS X和Linux上,可以使用ssh-keygen命令完成此操作,命令如下:

ssh-keygen -t rsa -b 4096

在Windows上你可能会使用PuTTYgen工具来生成密钥,但这会导致许多问题。因此为了不必要的麻烦,我建议你可以先在Linux/OS X上,使用以上命令生成密钥再复制密钥。或者你也可通过Windows的Git Bash或Windows 10的Linux子系统来完成该操作。你还可以从Amazon EC2 web console生成SSH密钥。

第3步:在这里创建一个亚马逊账户。生成访问密钥如下。

  • 登录到你的EC2控制台:https://console.aws.amazon.com
  • 选择你的名字->安全凭据。
  • 展开“访问密钥”
  • 创建新密钥
  • 记录访问密钥ID及密钥

第4步:配置文件设置。DeployREMnux脚本提供了一个配置范本,可以作为你的配置参考。将“DeployREMnux-config.txt.example”重命名为“DeployREMnux-config.txt”。输入你在步骤3中生成的AWS密钥信息,并提供ssh密钥的完整文件路径(在步骤2中生成)。你可以选择配置用于RDP访问实例的密码。如果没有指定密码,将会产生一个随机密码。

{

  "AmazonConfig": {

        "aws_access_key_id": "put_your_amazon_access_key_id_here",

        "aws_secret_access_key": "put_your_amazon_access_secret_here ",

        "aws_instance_size": "t2.micro"

  },

  "SshConfig": {

          "private_key_file": "/root/.ssh/id_rsa",

          "public_key_file": "/root/.ssh/id_rsa.pub"

  },

  "RemnuxConfig": {

           "remnux_user_password": ""

  }

}

注意,Windows指定密钥文件路径,需要使用正斜杠(例如(c:/path/to/key/id_pub))

最后,可以使用配置文件来指定已部署实例的大小,默认值为“t2.micro”,你也可以根据自己的需求进行改进。你的实例将被部署到us=east-1地区(a.k.a N. Virginia)。

当你完成对REMnux实例使用后,你可以在提示符下按“Y”来终止它,或者如果你之前输入过“n”,你也可以使用’python DeployREMnux.py -t <node id>’选项来关闭实例。其中<node id>可以从上述命令的输出或Amazon Web控制台中确定。

image3.png

在这里我需要提醒大家的是,请务必确保你的Amazon console没有任何可能导致你额外花销的空闲资源。同时,在区域选择上也请确保区域的正确选择(北弗吉尼亚州)。如果需要,你可以通过Web界面来手动终止实例。

 image4.png

 *参考来源:blackhillsinfosec,FB小编 secist 编译,转载请注明来自FreeBuf.COM


文章来源: http://www.freebuf.com/sectool/162048.html
如有侵权请联系:admin#unsafe.sh