편집 2: 문서를 자세히 조사한 결과 도구가 드러났습니다.
상황: 사랑FakeDNS
컴퓨터가 맬웨어 샘플의 모든 DNS 요청에 자체 IP 주소로 응답하도록 하는 도구입니다.
그러나 악성 코드 샘플이 IP 주소에 도달했을 때 대상 컴퓨터의 IP 주소가 동일하지 않으면 샘플이 삭제됩니다.
질문: 유사한 도구가 있지만 FakeDNS
쿼리된 IP 주소에 응답할 수 있습니까? ARP 요청에 응답하도록 네트워크 인터페이스를 구성하는 스크립트를 고려 중입니다.
최고의 도구는 Linux에서 실행되어야 합니다.
편집 1:
설정이 제가 일반적으로 맬웨어 분석을 위해 수행하는 것과 유사하기를 바랍니다. 즉, 폐쇄된 네트워크(인터넷 없음)에 2개의 VM만 있으면 됩니다.
10.1.1.1 10.1.1.2
------- -------
| VM1 |=========| VM2 |
------- -------
VM1은 맬웨어를 실행하고 VM2는 FakeDNS
.
예제 1 FakeDNS
, 작동 방식의 예:
- VM1은 VM2를 기본 게이트웨이 및 DNS 서버로 사용하도록 구성됩니다.
- VM2가
FakeDNS
실행 중입니다. a.exe
VM1에서 악성코드를 실행 중입니다.example.org
VM1의 악성코드는 DNS 서버에 요청을 보냅니다.- VM2는 자체 IP 주소( )로
example.org -> 10.1.1.2
응답합니다 .
예시 2 "Script/tool/config X"
:
- VM1은 VM2를 기본 게이트웨이로 사용하도록 구성됩니다.
- VM2에는
script/tool/config X
. b.exe
VM1에서 악성코드를 실행 중입니다.- VM1의 악성 코드 요구 사항
8.8.8.8
("Who has 8.8.8.8?"
). "I am 8.8.8.8"
VM2는 구성된 IP 주소에 관계없이 응답합니다.
답변1
VM2가 REMnux라고 언급한 적은 없지만 좀 더 자세히 알아보고 있습니다.REMnux 치트 시트그 도구는 다른 도구를 찾고 있었고 그 도구에 스크립트가 포함되어 있다는 것을 깨달았습니다.accept-all-ips
.
스크립트는 IPtables의 NAT 테이블을 사용하여 트래픽을 다시 자신에게 리디렉션하여 모든 IP 주소에 응답할 수 있도록 합니다.