Udgivelse af REMnux 7.0, en malware-analysedistribution

Fem år siden udgivelsen af ​​sidste nummer dannet ny udgivelse af en specialiseret Linux-distribution REM nux 7.0, designet til at studere og reverse engineering af malware-kode. Under analyseprocessen giver REMnux dig mulighed for at levere et isoleret laboratoriemiljø, hvor du kan efterligne driften af ​​en specifik netværkstjeneste under angreb for at studere adfærden af ​​malware under forhold tæt på virkelige. Et andet anvendelsesområde for REMnux er undersøgelsen af ​​egenskaberne ved ondsindede indsættelser på websteder implementeret i JavaScript.

Distributionen er bygget på Ubuntu 18.04-pakkebasen og bruger LXDE-brugermiljøet. Firefox kommer med NoScript-tilføjelsen som webbrowser. Distributionssættet indeholder et ret komplet udvalg af værktøjer til at analysere malware, værktøjer til reverse engineering kode, programmer til at studere PDF'er og kontordokumenter ændret af angribere og værktøjer til overvågning af aktivitet i systemet. Størrelse boot billede REMnux, dannet til lancering inde i virtualiseringssystemer er det 5.2 GB. I den nye udgivelse er alle tilbudte værktøjer blevet opdateret, sammensætningen af ​​distributionen er blevet væsentligt udvidet (størrelsen på det virtuelle maskinbillede er fordoblet). Listen over foreslåede forsyningsselskaber er opdelt i kategorier.

Sættet indeholder følgende Værktøj:

• Website analyse: Thug, mitmproxy, Network Miner gratis udgave, krølle, wget, Burp Proxy gratis udgave, Automater, pdnskammel, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Analyse af ondsindede Flash-videoer: xxxswf, SWF-værktøjer, RABCDAsm, extract_swf, flare;
• Java-analyse: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javasist, CFR;
• JavaScript-analyse: Rhino Debugger, Uddrag Scripts, SpiderMonkey, V8, JS Beautifier;
• PDF-analyse: Analyser PDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Analyse af Microsoft Office-dokumenter: officeparser, pyOLEScanner.py, oleværktøjer, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Shellcode analyse: sctest, unicode2hex-escaped, unicode2raw, dism-dette, shellcode2exe;
• Bringe sløring i læsbar form (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortværktøj, NoMoreXOR, XORBruteForcer, Fiskeørn, FLOSS
• Udtræk af strengdata: strdeobj, pestr, strygere;
• File gendannelse: fremmest, skalpel, bulk_extractor, Chopper;
• Overvågning af netværksaktivitet: Wireshark, ngrep, TCP Dump, tcpick;
• Netværkstjenester: Falsk DNS, Nginx, fakeMail, Honeyd, INetSim, Inspirer IRCd, OpenSSH, accept-all-ips;
• Netværksværktøjer: prettyping.sh, sæt-statisk-ip, forny-dhcp, netkat, EPIC IRC-klient, stunnel, Bare-metadata;
• Arbejde med en samling af malware-eksempler: Maltrieve, Ragpicker, Viper, MASTIFF, Tæthedsspejder;
• Definition af signaturer: YaraGenerator, IOC-ekstraktor, Autorule, Regelredaktør, ioc-parser;
• Scanning: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Arbejde med hash: nsrllookup, Automater, Hash-identifikator, totalhash, ssdyb, virustotal-søgning, VirusTotalApi;
• Linux malware analyse: Sysdig, Vis igen
• Demontering: Vivisect, Udis86, objdump;
• Debuggere: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Sporingssystemer: strace, spor
• Undersøge: Radare 2, Pyew, bokken, m2elf, ELF Parser;
• Arbejde med tekstdata: SciTE, Geany, vim;
• Arbejde med billeder: FEH, ImageMagick;
• Arbejde med binære filer: wxHexEditor, VBinDiff;
• Hukommelsesdump analyse: Ramme for volatilitet, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Minde om, linux_mem_diff_tool;
• Analyse af eksekverbare PE-filer UPX, Bytehist, Tæthedsspejder, Pakker-ID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, bokken, RAT-dekodere, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Malwareanalyse til mobile enheder: Androwarn, AndroGuard.

Kilde: opennet.ru