Liberigo de REMnux 7.0, malware analiza distribuo

Kvin jarojn ekde la publikigo de la lasta numero formis nova eldono de speciala Linukso-distribuo REM nukso 7.0, desegnita por studi kaj inversigi inĝenieran malware-kodon. Dum la analiza procezo, REMnux ebligas al vi provizi izolitan laboratoriomedion, en kiu vi povas imiti la funkciadon de specifa retservo sub atako por studi la konduton de malware en kondiĉoj proksimaj al realaj. Alia areo de apliko de REMnux estas la studo de la propraĵoj de malicaj enmetoj en retejoj efektivigitaj en JavaScript.

La distribuo estas konstruita sur la paka bazo Ubuntu 18.04 kaj uzas la uzantan medion LXDE. Fajrovulpo venas kun la NoScript-aldonaĵo kiel TTT-legilo. La dissenda ilaro inkluzivas sufiĉe kompletan elekton de iloj por analizi malware, ilojn por inversa inĝenieristiko, programojn por studi PDF-ojn kaj oficejan dokumentojn modifitajn de atakantoj, kaj ilojn por monitori agadon en la sistemo. Grandeco boto bildo REMnux, formita por lanĉi ene de virtualigsistemoj, ĝi estas 5.2 GB. En la nova eldono, ĉiuj ofertitaj iloj estis ĝisdatigitaj, la konsisto de la distribuo estis signife vastigita (la grandeco de la virtuala maŝino bildo duobliĝis). La listo de proponitaj utilecoj estas dividita en kategoriojn.

La ilaro inkluzivas la jenajn iloj:

• Analizo de retejo: Trugo, mitmproxy, Reto Ministo Senpaga Eldono, buklo, wget, Burp Proxy Senpaga Eldono, Aŭtomatilo, pdnstool, Tor, tcpextract, tcpflow, pasiva.py, CapTipper, yaraPcap.py;
• Analizo de malicaj Flash-videoj: xxxswf, SWF-iloj, RABCDAsm, ekstrakto_swf, Flare;
• Java Analizo: Java Cache IDX Analizilo, JD-GUI Java Decompiler, JAD Java Dekompililo, Javassist, CFR;
• JavaScript-Analizo: Rinocero-Elpurigilo, Ekstraktoj, SpiderMonkey, V8, JS Beligisto;
• PDF-Analizo: Analizu PDF, Pdfobjflow, pdfid, pdf-analizilo, peepdf, origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurekti;
• Analizo de Microsoft Office-dokumentoj: officeparser, pyOLEScanner.py, oleiloj, libolecf, oldump, emldump, MSGCvert, base64dump.py, unikodo;
• Analizo de Shellcode: sctest, unikode2hex-eskapita, unikode2raw, dism-ĉi, shellcode2exe;
• Alportante malklarigon en legeblan formon (malklarigado): unXOR, XORStrings, eks_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSO
• Eltiro de kordaj datumoj: strdeobj, pestr, kordoj;
• Dosiera reakiro: Plej ĉefa, Skalpelo, bulk_extractor, Hakisto;
• Monitorado de Reta Agado: Wireshark, ngrep, TPCdump, tcpick;
• Retaj servoj: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspiru IRCd, OpenSSH, akcepti-ĉiujn-ipojn;
• Retaj utilecoj: prettyping.sh, set-static-ip, renovigi-dhcp, netcat, EPIC IRC-Kliento, stunelo, Nur-Metadatumoj;
• Laborante kun kolekto de ekzemploj de malware: Maltrieve, Ĉifonisto, Vipuro, MASTIFO, Denseca skolto;
• Difino de subskriboj: YaraGenerator, IOCextractor, Aŭtoro, Regulredaktisto, ioc-parser;
• Skanado: Yara, ClamAV, Trido, ExifTool, virustotal-submit, Disitool;
• Laborante kun haŝoj: nsrllookup, Aŭtomatilo, Hash-Identigilo, totalhash, ssprofunde, virustotal-serĉo, VirusTotalApi;
• Linukso-analizo de malware: Sysdig, Senkulpigi
• Malmuntiloj: Vivisekto, Udis86, objdump;
• Sencimigiloj: La Erarserĉilo de Evan (EDB), GNU-Projekta Senĉirmilo (GDB);
• Spursistemoj: strace, lspuro
• Esploru: Radaro 2, Pyew, bokken, m2elf, ELF Analizilo;
• Laborante kun tekstaj datumoj: SciTE, Geany, mi venis;
• Laborante kun bildoj: feh, ImageMagick;
• Laborante kun binaraj dosieroj: wxHexEditor, VBinDiff;
• Analizo pri memorforĵeto: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
• Analizo de plenumeblaj PE-dosieroj UPX, Bytehist, Denseca skolto, PackerID, objdump, Udis86, Vivisekto, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, bokken, RATDekodiloj, Pyew, readpe.py, PyInstaller Ekstraktilo, DC3-MWCP;
• Malware-analizo por porteblaj aparatoj: Androwarn, AndroGuard.

fonto: opennet.ru