昨天提到我們可以下指令讓YALIH這個client honeypot模擬存取網站URL的行為,藉此研究網站本身是否含有惡意程式。其實相關的資料除了在螢幕上外,也會處存在相關日誌中以供檢索。
首先跑以下指令,測試一個網站URL
#python honeypot.py --url www.msn.com
這裡發現YALIH模擬的順序,首先螢幕顯示client honeypot試著讀取一連串來自網站URL的js檔案;接著ClamAV開始掃描,確認有無病毒檔案;最後用YARA rule比對。但是這裡遇到一個問題,執行YARA時出現以下錯誤:
“yara: error while loading shared libraries: libyara.so.2: cannot open shared
object file: No such file or directory”
這是怎麼回事呢?上網爬文研究一下,發現是因為loader 找不到/usr/local/lib之下的libyara library ,在某些版本我們必須另外自行設定路徑,其實很簡單用以下指令把/usr/local/lib路徑加到/etc/ld.so.conf設定檔案即可:
#sudo echo "/usr/local/lib" >> /etc/ld.so.conf
#sudo ldconfig
重跑一次測試網站URL,這次我們不從螢幕讀取,改從日誌裡讀取結果。首先在/yalih資料夾內有一個名為scanlogs的資料夾。我們可以看到裡面有三個檔案:
Clam-report.log
Yara-report.log
Malicious-Websites.log
第一個Clam-report.log會顯示掃描結果,Yara-report.log則是顯示行為比對和模式比對結果,最後
Malicious-Websites.log則是將結果以網站順序列出。
如果想找更多關於模擬的資訊,在/yalih資料夾下有個debug資料夾,每次模擬的結果都會有相對應的日誌;如果想看更多運用YALIH的方法,可以用 —help去看各個不同指令
#python honeypot.py --help
關於YALIH的介紹就到這邊,希望能大家上手,也歡迎留言交流各種應用。
「黑暗已過去,光明就在眼前。」—《火鳳燎原》