Veröffentlichung von REMnux 7.0, einer Malware-Analyse-Distribution

Fünf Jahre seit der Veröffentlichung der letzten Ausgabe gebildet neue Version einer speziellen Linux-Distribution REM-nux 7.0, entwickelt, um Malware-Code zu untersuchen und zurückzuentwickeln. Während des Analyseprozesses können Sie mit REMnux eine isolierte Laborumgebung bereitstellen, in der Sie den Betrieb eines bestimmten angegriffenen Netzwerkdienstes emulieren können, um das Verhalten von Malware unter realitätsnahen Bedingungen zu untersuchen. Ein weiterer Anwendungsbereich von REMnux ist die Untersuchung der Eigenschaften bösartiger Einfügungen auf in JavaScript implementierten Websites.

Die Distribution basiert auf der Paketbasis Ubuntu 18.04 und nutzt die LXDE-Benutzerumgebung. Firefox wird mit dem NoScript-Add-on als Webbrowser geliefert. Das Distributionskit enthält eine ziemlich vollständige Auswahl an Tools zur Analyse von Malware, Dienstprogrammen zum Reverse Engineering von Code, Programmen zum Untersuchen von PDFs und Office-Dokumenten, die von Angreifern geändert wurden, sowie Tools zur Überwachung der Aktivität im System. Größe Boot-Image REMnux, gegründet für Start Innerhalb von Virtualisierungssystemen sind es 5.2 GB. In der neuen Version wurden alle angebotenen Tools aktualisiert, die Zusammensetzung der Distribution wurde deutlich erweitert (die Größe des Images der virtuellen Maschine hat sich verdoppelt). Die Liste der vorgeschlagenen Dienstprogramme ist in Kategorien unterteilt.

Das Kit enthält Folgendes Werkzeuge:

• Website-Analyse: Schläger, Mitmproxy, Kostenlose Network Miner-Edition, curl, wget, Kostenlose Burp-Proxy-Edition, Automater, pdnstool, Tor, tcpextract, TCPflow, passive.py, CapTipper, yaraPcap.py;
• Analyse bösartiger Flash-Videos: xxxswf, SWF-Tools, RABCDAsm, extract_swf, Fackel;
• Java-Analyse: Java-Cache-IDX-Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassis, CFR;
• JavaScript-Analyse: Rhino-Debugger, Skripte extrahieren, Spinnenaffe, V8, JS-Verschönerer;
• PDF-Analyse: PDF analysieren, Pdfobjflow, pdfid, PDF-Parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfauferstehung;
• Analyse von Microsoft Office-Dokumenten: Büroparser, pyOLEScanner.py, Oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, Unicode;
• Shellcode-Analyse: sctest, unicode2hex-escaped, unicode2raw, dism-dies, Shellcode2exe;
• Verschleierung in lesbare Form bringen (Deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Fischadler, ZAHNSEIDE
• String-Daten extrahieren: strdeobj, pestr, Streicher;
• Wiederherstellung von Dateien: vorderste, Skalpell, bulk_extractor, Chopper;
• Überwachung der Netzwerkaktivität: Wireshark, ngrep, TCP-Dump, tcpick;
• Netzwerkdienste: FakeDNS, Nginx, fakeMail, Schatz, INetSim, IRCd inspirieren, OpenSSH, alle IPs akzeptieren;
• Netzwerkdienstprogramme: Prettyping.sh, set-static-ip, renew-dhcp, Netzkatze, EPIC IRC-Client, Stunnel, Nur-Metadaten;
• Arbeiten mit einer Sammlung von Malware-Beispielen: Maltrieve, Lumpensammler, Viper, DOGGE, Dichte-Scout;
• Definition von Signaturen: YaraGenerator, IOCextractor, Autorule, Regeleditor, ioc-parser;
• Scannen: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Arbeiten mit Hashes: nsrllookup, Automater, Hash-Identifikator, totalhash, tief, virustotal-suche, VirusTotalApi;
• Linux-Malware-Analyse: Sysdig, Einblenden
• Disassembler: Vivisekt, Udis86, objdump;
• Debugger: Evans Debugger (EDB), GNU-Projekt-Debugger (GDB);
• Rückverfolgungssysteme: strace, ltrace
• Untersuchen: Radar 2, Puh, Dollar, m2elf, ELF-Parser;
• Arbeiten mit Textdaten: SciTE, Geany, Vim;
• Arbeiten mit Bildern: feh, ImageMagick;
• Arbeiten mit Binärdateien: wxHexEditor, VBinDiff;
• Speicherauszugsanalyse: Volatility Framework, Funde, AESKeyFinder, RSAKeyFinder, VolDiff, Rückruf, linux_mem_diff_tool;
• Analyse ausführbarer PE-Dateien UPX, Bytehist, Dichte-Scout, PackerID, objdump, Udis86, Vivisekt, Signsrch, Pescanner, ExeScan, pev, Peframe, pedump, Dollar, RATDecoder, Puh, readpe.py, PyInstaller-Extraktor, DC3-MWCP;
• Malware-Analyse für mobile Geräte: Androwarn, AndroGuard.

Source: opennet.ru