たれながし.info

とあるITエンジニアの備忘録

INetSimを使ってみた

マルウェアの動的解析に利用できる「INetSim」を使ってみたのでメモします。

はじめに

INetSim:(Internet Services Simulation)について

InetSimはマルウェアの動的解析に利用する目的で開発されたツールです。Perlで実装されています。
マルウェアが使用するネットワークプロトコルのサーバー側の動作をシミュレートします。
HTTP(S)、SMTP(S)、DNSといったメジャーなプロトコルに加え、Daytime、Echoなど今日ではほとんど使われないプロトコルもシミュレートします。

<公式サイト>
www.inetsim.org


同様のツールには、fireeyeのFakeNet-NGがあります。
github.com


検証環境

  • Ubuntu 20.04 LTS
  • INetSim 1.3.2

構築

インストール

リポジトリを登録してインストールする

sudo bash
echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
apt update
apt install inetsim

設定

サービスの待ち受けIPアドレスDNSで返答するIPアドレスを設定する ※デフォルトは127.0.0.1

sudo vi /etc/inetsim/inetsim.conf
→下記を追記
service_bind_address [IPアドレス]
dns_default_ip [IPアドレス]


サービスが利用するファイルは「/var/lib/inetsim」にある。
※証明書、Webコンテンツ、メールボックスなど

ls -l /var/lib/inetsim
total 32
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 certs
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 finger
drwxr-xr-x 4 inetsim inetsim 4096  2月 21 00:50 ftp
drwxr-xr-x 5 inetsim inetsim 4096  2月 21 00:50 http
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 pop3
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 quotd
drwxrwxr-x 2 inetsim inetsim 4096  2月 21 00:50 smtp
drwxr-xr-x 4 inetsim inetsim 4096  2月 21 00:50 tftp

起動

サービス、もしくプロセスとして起動します。

・サービスとして起動する場合
sudo systemctl start inetsim

・プロセスとして起動する場合
sudo inetsim

ログ

ls -l /var/log/inetsim/
total 40
-rw-rw---- 1 root inetsim     0  2月 21 00:50 debug.log
-rw-rw---- 1 root inetsim 11418  2月 21 02:25 main.log
drwxrwxr-x 2 root inetsim  4096  2月 21 00:50 report
-rw-rw---- 1 root inetsim 22416  2月 21 03:02 service.log

サポートするサービス一覧

No サービス プロトコル ポート番号 用途
1 HTTP tcp 80 HTTP通信
2 HTTPS tcp 443 HTTP通信(TLS対応)
3 SMTP tcp 25 メール送信
4 SMTPS tcp 465 メール送信(TLS対応)
5 POP3 tcp 110 メール受信
6 POP3S tcp 995 メール受信(TLS対応)
7 DNS tcp/udp 53 名前解決
8 FTP tcp 21 ファイルやり取り
9 FTPS tcp 990 ファイルやり取り(TLS対応)
10 TFTP udp 69 軽量なファイルやり取り
11 IRC tcp 6667 インスタントメッセンジャー
12 NTP udp 123 時刻同期
13 Ident tcp 113 認証
14 Finger tcp 79 リモートコンピュータの情報取得
15 Syslog udp 514 ログ転送
16 Daytime tcp/udp 13 時刻表示
17 Time tcp/udp 37 時刻同期
18 Echo tcp/udp 7 ラウンドトリップタイム計測
19 Chargen tcp/udp 19 任意の文字列を返答
20 Discard tcp/udp 9 受信データの廃棄
21 Quotd tcp/udp 17 今日のひとことを返答
22 Dummy tcp/udp 1 受信データのログ記録