REMnux 7.0, pahavara analüüsi levitamise väljalase

Viis aastat viimase numbri ilmumisest moodustatud spetsiaalse Linuxi distributsiooni uus väljalase MÄRKUS 7.0, mis on loodud pahavara koodi uurimiseks ja tagasipööramiseks. Analüüsiprotsessi käigus võimaldab REMnux pakkuda isoleeritud laborikeskkonda, kus saate emuleerida konkreetse ründe all oleva võrguteenuse tööd, et uurida pahavara käitumist tegelikele lähedastes tingimustes. Teine REMnuxi rakendusvaldkond on JavaScriptis rakendatud veebisaitidel olevate pahatahtlike lisade omaduste uurimine.

Distributsioon on üles ehitatud Ubuntu 18.04 paketibaasile ja kasutab LXDE kasutajakeskkonda. Firefoxil on veebibrauserina kaasas NoScripti lisandmoodul. Jaotuskomplekt sisaldab üsna täielikku valikut tööriistu pahavara analüüsimiseks, utiliite pöördprojekteerimise koodi jaoks, programme PDF-ide ja ründajate poolt muudetud kontoridokumentide uurimiseks ning tööriistu süsteemi tegevuse jälgimiseks. Suurus alglaadimispilt REMnux, moodustatud jaoks käivitamine virtualiseerimissüsteemide sees on see 5.2 GB. Uues väljaandes on uuendatud kõiki pakutavaid tööriistu, oluliselt laiendatud distributsiooni koostist (virtuaalmasina pildi suurus on kahekordistunud). Kavandatavate kommunaalteenuste loend on jagatud kategooriatesse.

Komplekt sisaldab järgmist Töövahendid:

• Veebisaidi analüüs: Pätti, mitmproxy, Network Miner tasuta väljaanne, Curl, wget, Burp Proxy tasuta väljaanne, Automatiseerija, pdnstool, Tor, tcpextract, tcpflow, passiivne.py, CapTipper, yaraPcap.py;
• Pahatahtlike Flash-videote analüüs: xxxswf, SWF-i tööriistad, RABCDAsm, ekstrakt_swf, loit;
• Java analüüs: Java vahemälu IDX parser, JD-GUI Java dekompiler, JAD Java dekompiler, Javassist, CFR;
• JavaScripti analüüs: Rhino siluja, ExtractScripts, Ämblikahv, V8, JS Beautifier;
• PDF-i analüüs: Analüüsige PDF-i, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Microsoft Office'i dokumentide analüüs: kontoriparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, Unicode;
• Shellkoodi analüüs: sctest, unicode2hex-paokood, unicode2raw, dism-see, shellcode2exe;
• Hägustamise viimine loetavasse vormi (deobfuskatsioon): unXOR, XORStrings, ex_pe_xor, XORotsing, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOST
• Stringiandmete ekstraheerimine: strdeobj, pestr, stringid;
• Faili taastamine: Eeskätt, skalpell, bulk_extractor, Chopper;
• Võrgutegevuse jälgimine: Wireshark, ngrep, TCP tühjendus, tcpick;
• Võrguteenused: VõltsDNS, nginx, fakeMail, Kallis, INetSim, Inspireerige IRCd, OpenSSH, aktsepteeri kõik-ips;
• Võrguutiliidid: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC klient, uimastama, Lihtsalt metaandmed;
• Pahavara näidete kogumiga töötamine: Maltrieve, Ragpicker, Madu, MASTIF, Tihedusskaut;
• Allkirjade määratlus: YaraGenerator, IOC ekstraktor, Autorule, Reegliredaktor, ioc-parser;
• Skaneerimine: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Räsidega töötamine: nsrllookup, Automatiseerija, Räsi identifikaator, totalhash, ssdeep, virustotal-otsing, VirusTotalApi;
• Linuxi pahavara analüüs: Sysdig, Varjata
• Demonteerijad: Vivisect, Udis86, objdump;
• Silujad: Evani silur (EDB), GNU projekti silur (GDB);
• Jälgimissüsteemid: kiirus, ltrace
• Uurige: Radare 2, Pyew, Taala, m2elf, ELF Parser;
• Tekstiandmetega töötamine: TEADUS, Geany, tarm;
• Piltidega töötamine: feh, ImageMagick;
• Binaarfailidega töötamine: wxHexEditor, VBinDiff;
• Mälu tühjendamise analüüs: Volatiilsuse raamistik, leiud, AESKeyFinder, RSAKeyFinder, VolDiff, Tagasikutsumine, linux_mem_diff_tool;
• Käivitatavate PE-failide analüüs UPX, Bytehist, Tihedusskaut, PackerID, objdump, Udis86, Vivisect, Signsrch, peskanner, ExeScan, pev, Peframe, pedump, Taala, RATDekoodrid, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Pahavara analüüs mobiilseadmete jaoks: Androwarn, AndroGuard.

Allikas: opennet.ru