Κυκλοφορία του REMnux 7.0, μια διανομή ανάλυσης κακόβουλου λογισμικού

Πέντε χρόνια από την έκδοση του τελευταίου τεύχους σχηματίστηκε νέα έκδοση μιας εξειδικευμένης διανομής Linux REM nux 7.0, σχεδιασμένο να μελετά και να αντιστρέφει τον κώδικα κακόβουλου λογισμικού. Κατά τη διαδικασία ανάλυσης, το REMnux σάς επιτρέπει να παρέχετε ένα απομονωμένο εργαστηριακό περιβάλλον στο οποίο μπορείτε να μιμηθείτε τη λειτουργία μιας συγκεκριμένης υπηρεσίας δικτύου που δέχεται επίθεση για να μελετήσετε τη συμπεριφορά κακόβουλου λογισμικού σε συνθήκες κοντά στις πραγματικές. Ένας άλλος τομέας εφαρμογής του REMnux είναι η μελέτη των ιδιοτήτων κακόβουλων ένθετων σε ιστότοπους που υλοποιούνται σε JavaScript.

Η διανομή βασίζεται στη βάση του πακέτου Ubuntu 18.04 και χρησιμοποιεί το περιβάλλον χρήστη LXDE. Ο Firefox συνοδεύεται από το πρόσθετο NoScript ως πρόγραμμα περιήγησης ιστού. Το κιτ διανομής περιλαμβάνει μια αρκετά πλήρη επιλογή εργαλείων για την ανάλυση κακόβουλου λογισμικού, βοηθητικά προγράμματα για κώδικα αντίστροφης μηχανικής, προγράμματα για τη μελέτη PDF και εγγράφων γραφείου που τροποποιήθηκαν από εισβολείς και εργαλεία για την παρακολούθηση της δραστηριότητας στο σύστημα. Μέγεθος εικόνα εκκίνησης REMnux, σχηματίστηκε για εκτόξευση μέσα στα συστήματα εικονικοποίησης, είναι 5.2 GB. Στη νέα έκδοση, όλα τα προσφερόμενα εργαλεία έχουν ενημερωθεί, η σύνθεση της διανομής έχει επεκταθεί σημαντικά (το μέγεθος της εικόνας της εικονικής μηχανής έχει διπλασιαστεί). Ο κατάλογος των προτεινόμενων βοηθητικών υπηρεσιών χωρίζεται σε κατηγορίες.

Το κιτ περιλαμβάνει τα εξής Εργαλεία:

• Ανάλυση ιστότοπου: Αντεροβγάλτης, mitmproxy, Network Miner Free Edition, μπούκλα, Ωχ, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpexttract, ροή tcp, παθητικός.py, CapTipper, yaraPcap.py;
• Ανάλυση κακόβουλων βίντεο Flash: xxxswf, Εργαλεία SWF, RABCDAsm, απόσπασμα_swf, Φωτοβολίδα;
• Ανάλυση Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, ΚΠΑ;
• Ανάλυση JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;
• Ανάλυση PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfressurrect;
• Ανάλυση εγγράφων του Microsoft Office: αναλυτής γραφείου, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Ανάλυση Shellcode: sctest, unicode2hex-escaped, unicode2raw, απογοήτευση-αυτό, shellcode2exe;
• Φέρνοντας τη συσκότιση σε αναγνώσιμη μορφή (deobfuscation): unXOR, Χορδές XOR, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Ψαραετός, ΧΝΟΥΔΙ
• Εξαγωγή δεδομένων συμβολοσειράς: strdeobj, pestr, χορδές;
• Ανάκτηση αρχείων: Πρώτιστος, χειρουργικό νυστέρι, χύμα_εξαγωγέας, Ελικόπτερο;
• Παρακολούθηση δραστηριότητας δικτύου: Wireshark, ngrep, TCP Dump, tcpick;
• Υπηρεσίες δικτύου: FakeDNS, nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, αποδοχή όλων των ip;
• Βοηθητικά προγράμματα δικτύου: όμορφος.χ, set-static-ip, renew-dhcp, netcat, Πελάτης EPIC IRC, αναισθητοποίηση, Απλά-Μεταδεδομένα;
• Εργασία με μια συλλογή παραδειγμάτων κακόβουλου λογισμικού: Maltrieve, Ragpicker, Viper, ΜΑΝΤΡΟΣΚΥΛΟ, Density Scout;
• Ορισμός υπογραφών: YaraGenerator, IOCextractor, Αυτόνομος κανόνας, Επεξεργαστής Κανόνων, ioc-parser;
• Ερευνα: Yara, ClamAV, Tridata, ExifTool, virustotal-υποβάλλω, Disitool;
• Εργασία με hashes: nsrllookup, Automater, Αναγνωριστικό κατακερματισμού, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Ανάλυση κακόβουλου λογισμικού Linux: Sysdig, Αποκάλυψη
• Αποσυναρμολογητές: Διαμελίζω των ζώων, Udis86, objdump;
• Εντοπιστές σφαλμάτων: Evan's Debugger (EDB), Πρόγραμμα εντοπισμού σφαλμάτων έργου GNU (GDB);
• Συστήματα ανίχνευσης: σκελετό, ίχνος
• Ερευνώ: Radare 2, Pyew, Μπόκκεν, m2elf, ELF Parser;
• Εργασία με δεδομένα κειμένου: SciTE, Geany, ζωτικότητα;
• Εργασία με εικόνες: φε, ImageMagick;
• Εργασία με δυαδικά αρχεία: wxHexEditor, VBinDiff;
• Ανάλυση απορριμμάτων μνήμης: Πλαίσιο μεταβλητότητας, ευρήματα, AESKeyFinder, RSAKeyFinder, VolDiff, Ανάκληση, linux_mem_diff_tool;
• Ανάλυση εκτελέσιμων αρχείων PE UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Διαμελίζω των ζώων, Signsrch, pescanner, ExeScan, pev, Peframe, ποδήλατο, Μπόκκεν, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Ανάλυση κακόβουλου λογισμικού για κινητές συσκευές: Androwarn, AndroGuard.

Πηγή: opennet.ru