Pagpagawas sa REMnux 7.0, usa ka pag-apod-apod sa pag-analisar sa malware

Lima ka tuig sukad sa pagmantala sa kataposang isyu naporma bag-ong pagpagawas sa usa ka espesyal nga pag-apod-apod sa Linux Remnux 7.0, gidesinyo sa pagtuon ug pag-reverse sa malware code. Atol sa proseso sa pag-analisar, gitugotan ka sa REMnux nga maghatag usa ka nahilit nga palibot sa laboratoryo diin mahimo nimong sundon ang operasyon sa usa ka piho nga serbisyo sa network nga giatake aron tun-an ang pamatasan sa malware sa mga kahimtang nga hapit sa tinuod. Ang laing bahin sa aplikasyon sa REMnux mao ang pagtuon sa mga kabtangan sa malisyosong pagsal-ot sa mga website nga gipatuman sa JavaScript.

Ang distribusyon gitukod sa Ubuntu 18.04 package base ug naggamit sa LXDE user environment. Ang Firefox nag-uban sa NoScript add-on isip usa ka web browser. Ang distribution kit naglakip sa usa ka medyo kompleto nga pagpili sa mga himan alang sa pag-analisar sa malware, mga utilities alang sa reverse engineering code, mga programa alang sa pagtuon sa mga PDF ug mga dokumento sa opisina nga giusab sa mga tig-atake, ug mga himan alang sa pagmonitor sa kalihokan sa sistema. Gidak-on imahe sa boot REMnux, naporma para sa paglusad sulod sa mga sistema sa virtualization, kini mao ang 5.2 GB. Sa bag-ong pagpagawas, ang tanan nga gitanyag nga mga himan gi-update, ang komposisyon sa pag-apod-apod labi nga gipalapdan (ang gidak-on sa imahe sa virtual machine nadoble). Ang listahan sa gisugyot nga mga utilities gibahin ngadto sa mga kategoriya.

Ang kit naglakip sa mosunod mga himan:

• Pagtuki sa website: kawatan, mitmproxy, Libre nga Edisyon sa Network Miner, curl, wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Pag-analisar sa makadaot nga mga video sa Flash: xxxswf, SWF Tools, RABCDAsm, extract_swf, Pag-ula;
• Pagtuki sa Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
• Pagtuki sa JavaScript: Rhino Debugger, Mga ExtractScript, Unggoy nga Kaka, V8, JS Beautifier;
• Pagtuki sa PDF: Analisaha angPDF, Pdfobjflow, pdfid, pdf-parser, peepdf, origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfpagkabanhaw;
• Pagtuki sa mga dokumento sa Microsoft Office: officeparser, pyOLEscanner.py, oletools, libolecf, oledump, emldump, MSGCConvert, base64dump.py, unicode;
• Pagtuki sa Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-kini, shellcode2exe;
• Pagdala sa obfuscation sa mabasa nga porma (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, WalayMoreXOR, XORBruteForcer, Balbuzard, FLOSS
• Pagkuha sa string data: strdeobj, pestr, mga kuldas;
• Pagbawi sa file: Labaw sa tanan, scalpel, bulk_extractor, Chopper;
• Pag-monitor sa kalihokan sa network: Wireshark, ngrep, TCP Dump, tcpick;
• Mga serbisyo sa network: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Pagdasig sa IRCd, OpenSSH, dawaton-tanan-ips;
• Mga gamit sa network: prettyping.sh, set-static-ip, renew-dhcp, netcat, Kliyente sa EPIC IRC, stunnel, Lang-Metadata;
• Pagtrabaho uban ang usa ka koleksyon sa mga pananglitan sa malware: Maltrieve, Ragpicker, Viper, MASTIFF, Densidad Scout;
• Kahulugan sa mga pirma: YaraGenerator, IOCextractor, Autorule, Editor sa Lagda, ioc-parser;
• Pag-scan: Yara, ClamAV, Trid, ExifTool, virustotal-pagsumite, Disitool;
• Nagtrabaho sa mga hash: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Pagtuki sa Linux malware: Sysdig, Dili Makalimtan
• Mga disassembly: Vivisect, Udis86, objdump;
• Mga debugger: Debugger ni Evan (EDB), GNU Project Debugger (GDB);
• Mga sistema sa pagsubay: subay, pagsubay
• Pag-imbestiga: Radyo 2, Pyew, bokken, m2elf, ELF Parser;
• Pagtrabaho uban ang datos sa teksto: SciTE, Geany, Vim;
• Pagtrabaho uban ang mga imahe: feh, ImageMagick;
• Pagtrabaho sa binary files: wxHexEditor, VBinDiff;
• Pag-analisar sa memory dump: Volatility Framework, mga nakit-an, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
• Pag-analisar sa mga executable nga PE file UPX, Bytehist, Densidad Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, bokken, Mga RATDecoder, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Pagtuki sa malware alang sa mga mobile device: Androwarnin, AndroGuard.

Source: opennet.ru