Выпуск REMnux 7.0, дыстрыбутыва для аналізу шкоднаснага ПЗ

Праз пяць год з моманту публікацыі мінулага выпуску сфарміраваны новы рэліз спецыялізаванага Linux-дыстрыбутыва REM nux 7.0, прызначанага для вывучэння і зваротнага інжынірынгу кода шкоднасных праграм. У працэсе аналізу REMnux дазваляе забяспечыць умовы ізаляванага лабараторнага асяроддзя, у якім можна эмуляваць працу вызначанага атакаванага сеткавага сэрвісу для вывучэння паводзін шкоднаснага ПЗ ва ўмовах набліжаных да рэальных. Іншы вобласцю прымянення REMnux з'яўляецца вывучэнне ўласцівасцей шкоднасных уставак на web-сайтах, рэалізаваных на JavaScript.

Дыстрыбутыў пабудаваны на пакетнай базе Ubuntu 18.04/XNUMX і выкарыстоўвае карыстацкае асяроддзе LXDE. У якасці web-браўзэра пастаўляецца Firefox з дадаткам NoScript. У камплект дыстрыбутыва ўключана дастаткова поўная падборка інструментаў для аналізу шкоднаснага ПЗ, утыліт для правядзення зваротнага інжынірынгу кода, праграм для вывучэння мадыфікаваных зламыснікамі PDF і офісных дакументаў, сродкаў маніторынгу актыўнасці ў сістэме. Памер загрузнай выявы REMnux, сфарміраванага для запуску ўнутры сістэм віртуалізацыі, складае 5.2/XNUMX Гб. У новым выпуску абноўлены ўсе прапанаваныя інструменты, істотна пашыраны склад дыстрыбутыва (памер выявы віртуальнай машыны павялічыўся ў два разы). Спіс прапанаваных утыліт разбіты на катэгорыі.

У камплект уваходзяць наступныя інструменты:

• Аналіз web-сайтаў: Бандыт, mitmproxy, Network Miner Free Edition, завітак, wget, Burp Proxy Free Edition, Automater, pdnstool, Тор, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Аналіз шкоднасных Flash-ролікаў: xxxswf, SWF Tools, RABCDAsm, extract_swf, клеш;
• Аналіз Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
• Аналіз JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;
• Аналіз PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Арыгамі, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Аналіз дакументаў Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, юнікода;
• Аналіз Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
• Прывядзенне заблытанага кода ў чытэльны выгляд (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, ВЫПЛАТЫ
• Выманне радковых дадзеных: strdeobj, pestr, радкі;
• Аднаўленне файлаў: у першую чаргу, Скальпель, bulk_extractor, Здрабняльнік;
• Маніторынг сеткавай актыўнасці: Wireshark, ngrep, Дамп TCP, tcpick;
• Сеткавыя сэрвісы: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips;
• Сеткавыя ўтыліты: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC Client, агонь, Just-Metadata;
• Праца з калекцыяй прыкладаў шкоднаснага ПЗ: Maltrieve, Ragpicker, гадзюка, МАСТЫФ, Density Scout;
• Вызначэнне сігнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
• Сканіраванне: Yara, ClamAV, TRID, ExifTool, virustotal-submit, Disitool;
• Праца з хэшамі: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Аналіз шкоднаснага ПЗ для Linux: Sysdig, Unhide
• Дызасэмблеры: Vivisect, Udis86, аб'ект;
• Адладчыкі: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Сістэмы трасіроўкі: страйс, ltrace
• Даследаваць: Radare 2, Pyew, Боккен, m2elf, ELF Parser;
• Праца з тэкставымі дадзенымі: SciTE, Geany, напор;
• Праца з выявамі: фе, ImageMagick;
• Праца з бінарнымі файламі: wxHexEditor, VBinDiff;
• Аналіз дампаў памяці: Рамка нестабільнасці, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
• Аналіз выкананых PE-файлаў UPX, Bytehist, Density Scout, PackerID, аб'ект, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Боккен, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Аналіз шкоднаснага ПЗ для мабільных прылад: Androwarn, AndroGuard.

Крыніца: opennet.ru