Vydání REMnux 7.0, distribuce analýzy malwaru

Pět let od vydání posledního čísla vytvořený nové vydání specializované linuxové distribuce REM nux 7.0, navržený ke studiu a zpětnému inženýrství malwarového kódu. Během procesu analýzy vám REMnux umožňuje poskytnout izolované laboratorní prostředí, ve kterém můžete emulovat provoz konkrétní síťové služby pod útokem a studovat chování malwaru v podmínkách blízkých skutečným. Další oblastí použití REMnuxu je studium vlastností škodlivých vložek na webových stránkách implementovaných v JavaScriptu.

Distribuce je postavena na balíkové základně Ubuntu 18.04 a využívá uživatelské prostředí LXDE. Firefox přichází s doplňkem NoScript jako webový prohlížeč. Distribuční sada obsahuje poměrně kompletní výběr nástrojů pro analýzu malwaru, nástroje pro reverzní inženýrství kódu, programy pro studium PDF a kancelářských dokumentů upravených útočníky a nástroje pro sledování aktivity v systému. Velikost spouštěcí obrázek REMnux, vytvořený pro odpálení uvnitř virtualizačních systémů je to 5.2 GB. V nové verzi byly aktualizovány všechny nabízené nástroje, výrazně se rozšířila skladba distribuce (zdvojnásobila se velikost obrazu virtuálního stroje). Seznam navrhovaných inženýrských sítí je rozdělen do kategorií.

Sada obsahuje následující Nástroje:

• Analýza webu: Rváč, mitmproxy, Bezplatná edice Network Miner, kadeř, Wget, Burp Proxy Free Edition, Automat, pdnstool, Tor, tcpextract, tcpflow, pasivní.py, CapTipper, yaraPcap.py;
• Analýza škodlivých Flash videí: xxxswf, Nástroje SWF, RABCDAsm, extrakt_swf, Světlice;
• Java analýza: Java Cache IDX Parser, JD-GUI Java dekompilátor, JAD Java Decompiler, Javassist, CFR;
• Analýza JavaScriptu: Rhino Debugger, Extrahované skripty, Pavoučí opice, V8, JS Beautifier;
• Analýza PDF: Analyzujte PDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Analýza dokumentů Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Analýza Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-toto, shellcode2exe;
• Převedení zmatku do čitelné podoby (deobfuskace): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Mořský orel, FLOSS
• Extrahování dat řetězce: strdeobj, pestr, řetězce;
• Obnova souboru: nejpřednější, skalpel, bulk_extractor, Vrtulník;
• Sledování aktivity sítě: Wireshark, ngrep, Výpis TCP, tcpick;
• Síťové služby: Falešné DNS, Nginx, falešná pošta, Honeyd, INetSim, Inspirujte IRCd, OpenSSH, accept-all-ips;
• Síťové nástroje: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC klient, stunnel, Just-Metadata;
• Práce se sbírkou příkladů malwaru: Maltrieve, Ragpicker, Zmije, DOGA, Density Scout;
• Definice podpisů: YaraGenerator, IOCextraktor, Autorule, Editor pravidel, ioc-parser;
• Snímání: zranění, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Práce s hashe: nsrllookup, Automat, Identifikátor hash, totalhash, sshluboká, virustotal-search, VirusTotalApi;
• Analýza malwaru v Linuxu: Sysdig, Odkryjte
• Rozebírače: Provádět vivisekci, Udis86, objdump;
• Ladicí programy: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Sledovací systémy: obejmout, ltrace
• Vyšetřovat: Radar 2, Pyew, bokken, m2elf, ELF Parser;
• Práce s textovými daty: SciTE, Geany, Elán;
• Práce s obrázky: chybějící, ImageMagick;
• Práce s binárními soubory: wxHexEditor, VBinDiff;
• Analýza výpisu paměti: Rámec volatility, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Odvolání, linux_mem_diff_tool;
• Analýza spustitelných PE souborů UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Provádět vivisekci, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, bokken, RADTekodéry, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Analýza malwaru pro mobilní zařízení: Androwarn, AndroGuard.

Zdroj: opennet.ru