Vrystelling van REMnux 7.0, 'n verspreiding van malware-analise

Vyf jaar sedert die publikasie van die laaste uitgawe gevorm nuwe vrystelling van 'n gespesialiseerde Linux-verspreiding REM nux 7.0, ontwerp om wanware-kode te bestudeer en om te keer. Tydens die ontledingsproses laat REMnux jou toe om 'n geïsoleerde laboratoriumomgewing te verskaf waarin jy die werking van 'n spesifieke netwerkdiens onder aanval kan naboots om die gedrag van wanware in toestande naby aan werklike te bestudeer. Nog 'n toepassingsgebied van REMnux is die studie van die eienskappe van kwaadwillige invoegings op webwerwe wat in JavaScript geïmplementeer is.

Die verspreiding is gebou op die Ubuntu 18.04-pakketbasis en gebruik die LXDE-gebruikersomgewing. Firefox kom met die NoScript-byvoeging as 'n webblaaier. Die verspreidingskit bevat 'n redelik volledige keuse van nutsmiddels vir die ontleding van wanware, nutsprogramme vir omgekeerde ingenieurskode, programme om PDF's en kantoordokumente te bestudeer wat deur aanvallers gewysig is, en nutsmiddels om aktiwiteit in die stelsel te monitor. Grootte selflaaibeeld REMnux, gevorm vir bekendstelling binne virtualisasiestelsels is dit 5.2 GB. In die nuwe weergawe is alle nutsgoed wat aangebied word, opgedateer, die samestelling van die verspreiding is aansienlik uitgebrei (die grootte van die virtuele masjienbeeld het verdubbel). Die lys van voorgestelde nutsdienste is in kategorieë verdeel.

Die kit sluit die volgende in die gereedskap:

• Webwerf analise: Thug, mitmproxy, Network Miner Free Edition, krul, wget, Burp Proxy Free Edition, Outomatiseerder, pdnstoeltjie, Tor, tcpextract, tcpvloei, passief.py, CapTipper, yaraPcap.py;
• Ontleding van kwaadwillige Flash-video's: xxxswf, SWF Gereedskap, RABCDAsm, uittreksel_swf, flare;
• Java-analise: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javasist, CFR;
• JavaScript-analise: Renoster Ontfouter, Onttrek Skripte, Spider Monkey, V8, JS Verfraaier;
• PDF-analise: Ontleed PDF, Pdfobjflow, pdfid, pdf-ontleder, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfherrys;
• Ontleding van Microsoft Office-dokumente: kantoorparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Shellkode analise: sctest, unicode2hex-ontsnapte, unicode2raw, dism-hierdie, shellcode2exe;
• Bring verduistering in leesbare vorm (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Visarend, VLOS
• Onttrek string data: strdeobj, pestr, snare;
• Lêerherwinning: Voorop, skalpel, grootmaat_onttrekker, Chopper;
• Netwerkaktiwiteitmonitering: Wireshark, ngrep, TCP Dump, tckies;
• Netwerkdienste: Valse DNS, Nginx, fakeMail, Liefie, INetSim, Inspireer IRCd, OpenSSH, aanvaar-alles-ips;
• Netwerkhulpmiddels: prettyping.sh, stel-statiese-ip, hernu-dhcp, Netkat, EPIC IRC kliënt, stunnel, Net-metadata;
• Werk met 'n versameling wanware-voorbeelde: Maltrieve, Jooltrekker, Viper, MASTIFF, Digtheid Scout;
• Definisie van handtekeninge: Yara Generator, IOCextractor, Outoruleer, Reëlredakteur, ioc-ontleder;
• Skandeer: Yara, ClamAV, Rijdend, ExifTool, virustotaal-indien, Disitool;
• Werk met hashes: nsrl opsoek, Outomatiseerder, Hash Identifiseerder, totale hasj, ssdiep, virustotaal-soektog, VirusTotalApi;
• Linux malware analise: Sysdig, Wys
• Demonteerders: Vivisect, Udis86, objdump;
• Ontfouters: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Spoorstelsels: strewe, spoor
• Ondersoek: Radare 2, Pyew, bokke, m2elf, ELF-ontleder;
• Werk met teksdata: SciTE, Geany, Vim;
• Werk met beelde: feh, Imagemagick;
• Werk met binêre lêers: wxHexEditor, VBinDiff;
• Geheue dump analise: Wisselvalligheidsraamwerk, vindaes, AESKeyFinder, RSAKeyFinder, VolDiff, Herroep, linux_mem_diff_tool;
• Ontleding van uitvoerbare PE-lêers UPX, Bytehist, Digtheid Scout, Verpakker-ID, objdump, Udis86, Vivisect, Tekensrch, peskandeerder, ExeScan, enp, Peframe, pedump, bokke, RAT Dekodeerders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Wanware-analise vir mobiele toestelle: Androwarn, AndroGuard.

Bron: opennet.ru