INetSim:（Internet Services Simulation）について

InetSimはマルウェアの動的解析に利用する目的で開発されたツールです。Perlで実装されています。
マルウェアが使用するネットワークプロトコルのサーバー側の動作をシミュレートします。
HTTP(S)、SMTP(S)、DNSといったメジャーなプロトコルに加え、Daytime、Echoなど今日ではほとんど使われないプロトコルもシミュレートします。

＜公式サイト＞
www.inetsim.org

同様のツールには、fireeyeのFakeNet-NGがあります。
github.com

検証環境

• Ubuntu 20.04 LTS
• INetSim 1.3.2

インストール

リポジトリを登録してインストールする

sudo bash
echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
apt update
apt install inetsim

設定

サービスの待ち受けIPアドレスとDNSで返答するIPアドレスを設定する　※デフォルトは127.0.0.1

sudo vi /etc/inetsim/inetsim.conf
→下記を追記
service_bind_address [IPアドレス]
dns_default_ip [IPアドレス]

サービスが利用するファイルは「/var/lib/inetsim」にある。
※証明書、Webコンテンツ、メールボックスなど

ls -l /var/lib/inetsim
total 32
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 certs
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 finger
drwxr-xr-x 4 inetsim inetsim 4096  2月 21 00:50 ftp
drwxr-xr-x 5 inetsim inetsim 4096  2月 21 00:50 http
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 pop3
drwxr-xr-x 2 inetsim inetsim 4096  2月 21 00:50 quotd
drwxrwxr-x 2 inetsim inetsim 4096  2月 21 00:50 smtp
drwxr-xr-x 4 inetsim inetsim 4096  2月 21 00:50 tftp

起動

サービス、もしくプロセスとして起動します。

・サービスとして起動する場合
sudo systemctl start inetsim

・プロセスとして起動する場合
sudo inetsim

ログ

ls -l /var/log/inetsim/
total 40
-rw-rw---- 1 root inetsim     0  2月 21 00:50 debug.log
-rw-rw---- 1 root inetsim 11418  2月 21 02:25 main.log
drwxrwxr-x 2 root inetsim  4096  2月 21 00:50 report
-rw-rw---- 1 root inetsim 22416  2月 21 03:02 service.log

サポートするサービス一覧

• Dummyは受信したデータをログに出力する独自プロトコル
• Dummy以外はRFCで定義されたプロトコル