REMnux 7.0 kaleratzea, malwarearen analisiaren banaketa

Bost urte azken zenbakia argitaratu zenetik eratu Linux banaketa espezializatu baten bertsio berria REM nux 7.0, malware kodea aztertzeko eta alderantzikatzeko diseinatua. Analisi-prozesuan zehar, REMnux-ek laborategi-ingurune isolatu bat eskaintzeko aukera ematen du, non erasopean dagoen sare-zerbitzu zehatz baten funtzionamendua imitatu ahal izateko, malwarearen portaera errealetatik gertu dauden baldintzetan aztertzeko. REMnux-en beste aplikazio-eremu bat JavaScript-en inplementatutako webguneetan txertatze gaiztoen propietateen azterketa da.

Banaketa Ubuntu 18.04 paketearen oinarrian eraikita dago eta LXDE erabiltzaile-ingurunea erabiltzen du. Firefox NoScript gehigarriarekin dator web arakatzaile gisa. Banaketa-kitak malwarea aztertzeko tresnak, alderantzizko ingeniaritza-koderako utilitateak, erasotzaileek aldatutako PDFak eta bulegoko dokumentuak aztertzeko programak eta sistemako jarduera kontrolatzeko tresnak biltzen ditu. Tamaina abioko irudia REMnux, eratua aireratzea birtualizazio sistemen barruan, 5.2 GB da. Oharra berrian, eskaintzen diren tresna guztiak eguneratu dira, banaketaren osaera nabarmen zabaldu da (makina birtualaren irudiaren tamaina bikoiztu egin da). Proposatutako utilitateen zerrenda kategoriatan banatzen da.

Kitak honako hauek ditu Tresnak:

• Webgunearen azterketa: matxura, mitmproxy, Network Miner Doako Edizioa, curl, wget, Burp Proxy Doako Edizioa, Automatizatzailea, pdnstool, TR, tcpeextract, tcpflow, pasiboa.py, CapTipper, yaraPcap.py;
• Flash bideo maltzurren analisia: xxxswf, SWF tresnak, RABCDAsm, atera_swf, Erlantz;
• Java analisia: Java Cache IDX analizatzailea, JD-GUI Java deskonpilatzailea, JAD Java deskonpilatzailea, Javasist, CFR;
• JavaScript Analisia: Rhino araztailea, ExtractScripts, Spidermonkey, V8, JS Edertzailea;
• PDF analisia: AztertuPDF, Pdfobjflow, pdfid, pdf analizatzailea, pixapdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdf resurrect;
• Microsoft Office dokumentuen analisia: bulegoko analisia, pyOLEScanner.py, oletresnak, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Shellcode azterketa: sctest, unicode2hex-ihes, unicode2raw, dism-hau, shellcode2exe;
• Lausotzea modu irakurgarri batean ekartzea (desobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortresna, NoMoreXOR, XORBruteForcer, Balbuzard, HARIA
• Katearen datuak ateratzen: strdeobj, izurri, kateak;
• Fitxategien berreskurapena: behin, scalpel, bulk_extractor, Chopper;
• Sareko jardueraren jarraipena: Wireshark, ngrep, TCP zabortegia, tcpick;
• Sareko zerbitzuak: FakeDNS, nginx, fakeMail, Honeyd, INetSim, Inspiratu IRCd, OpenSSH, onartu-guztiak-ips;
• Sareko utilitateak: polita.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC bezeroa, stunnel, Just-Metadatuak;
• Malware adibideen bilduma batekin lan egitea: Maltrieve, Trapugilea, Viper, MASTINA, Dentsitate Scout;
• Sinaduren definizioa: YaraGenerator, IOCextractor, Autorule, Arauen editorea, ioc-analisia;
• Eskaneatzea: Yara, ClamAV, Trid, ExifTool, birusa guztira-bidaltzea, Disitool;
• Hashekin lan egitea: nsrllookup, Automatizatzailea, Hash identifikatzailea, totalhash, ssdeep, birus-bilaketa-totala, VirusTotalApi;
• Linux malwarearen azterketa: Sysdig, Erakutsi
• Desmuntatzaileak: Bizisektua, Udis86, objdump;
• Araztaileak: Evan-en arazketa (EDB), GNU Project Debugger (GDB);
• Trazadura sistemak: traza, ltraza
• Ikertu: Radar 2, Pixu, bokken, m2elf, ELF analizatzailea;
• Testu-datuekin lan egitea: SciTE, Geany, Vim;
• Irudiekin lan egitea: feh, ImageMagick;
• Fitxategi bitarrekin lan egitea: wxHexEditor, VBinDiff;
• Memoria-zaborketaren azterketa: Hankotasun-Esparrua, aurkikuntzak, AESKeyFinder, RSAKeyFinder, VolDiff, Gogoratu, linux_mem_diff_tool;
• PE fitxategi exekutagarrien analisia UPX, Bytehist, Dentsitate Scout, PackerID, objdump, Udis86, Bizisektua, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, bokken, RATDekodetzaileak, Pixu, irakurripe.py, PyInstaller erauzgailua, DC3-MWCP;
• Gailu mugikorretarako malwarearen azterketa: Androwarn, AndroGuard.

Iturria: opennet.ru