REMnux 7.0, haittaohjelmaanalyysijakelun julkaisu

Viisi vuotta viimeisen numeron ilmestymisestä muodostettu uusi julkaisu erikoistuneesta Linux-jakelusta REM nux 7.0, joka on suunniteltu tutkimaan ja kääntämään haittaohjelmakoodia. Analyysiprosessin aikana REMnux mahdollistaa erillisen laboratorioympäristön, jossa voit emuloida tietyn hyökkäyksen kohteena olevan verkkopalvelun toimintaa ja tutkia haittaohjelmien käyttäytymistä lähellä todellisia olosuhteita. Toinen REMnuxin sovellusalue on haitallisten lisäysten ominaisuuksien tutkimus JavaScriptillä toteutetuilla verkkosivustoilla.

Jakelu on rakennettu Ubuntu 18.04 -pakettipohjaan ja käyttää LXDE-käyttäjäympäristöä. Firefoxin mukana tulee NoScript-lisäosa verkkoselaimena. Jakelupaketti sisältää melko kattavan valikoiman työkaluja haittaohjelmien analysointiin, apuohjelmia koodin käänteiseen suunnitteluun, ohjelmia PDF-tiedostojen ja hyökkääjien muokkaamien toimistoasiakirjojen tutkimiseen sekä työkaluja järjestelmän toiminnan valvontaan. Koko käynnistyskuva REMnux, muodostettu varten käynnistää virtualisointijärjestelmien sisällä se on 5.2 Gt. Uudessa julkaisussa kaikki tarjotut työkalut on päivitetty, jakelun koostumusta on laajennettu merkittävästi (virtuaalikonekuvan koko on kaksinkertaistunut). Ehdotettujen apuohjelmien luettelo on jaettu luokkiin.

Sarja sisältää seuraavat Työkalut:

• Verkkosivuston analyysi: Huligaani, mitmproxy, Network Miner ilmainen versio, kiemura, wget, Burp Proxy Free Edition, Automaatti, pdnstool, Tor, tcpextract, tcpflow, passiivinen.py, CapTipper, yaraPcap.py;
• Haitallisten Flash-videoiden analyysi: xxxswf, SWF-työkalut, RABCDAsm, Pura_swf, leimahtaa;
• Java-analyysi: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
• JavaScript-analyysi: Rhino Debugger, ExtractScripts, Hämähäkkiapina, V8, JS Beautifier;
• PDF-analyysi: AnalysoiPDF, Pdfobjflow, pdfid, pdf-jäsennin, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Microsoft Office -asiakirjojen analyysi: toimistoparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, Unicode;
• Shellcode-analyysi: sctest, unicode2hex-escaped, unicode2raw, hylkää tämä, shellcode2exe;
• Hämärtymisen tuominen luettavaan muotoon (deobfuskaatio): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Kalasääski, FLOSSI
• Merkkijonotietojen purkaminen: strdeobj, pestr, jouset;
• Tiedostojen palautus: johtava, leikkausveitsi, bulk_extractor, Chopper;
• Verkkotoiminnan seuranta: Wireshark, ngrep, TCP-vedos, tcpick;
• Verkkopalvelut: FakeDNS, nginx, fakeMail, Honeyd, INetSim, Inspiroi IRCd:tä, OpenSSH, hyväksy kaikki-ips;
• Verkkoapuohjelmat: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC-asiakas, stunnel, Vain metatiedot;
• Työskentely haittaohjelmaesimerkkien kanssa: Maltrieve, Ragpicker, Kyykäärme, MASTIFFI, Tiheys Scout;
• Allekirjoitusten määritelmä: YaraGeneraattori, IOCextractor, Autorule, Sääntöeditori, ioc-parser;
• Skannaus: Yara, ClamAV, TRIDEM, exiftool, virustotal-submit, Disitool;
• Työskentely tiivisteiden kanssa: nsrllookup, Automaatti, Hash Identifier, totalhash, ssdeep, virustotal-haku, VirusTotalApi;
• Linuxin haittaohjelmaanalyysi: Sysdig, unhide
• Purkajat: Vivisect, Udis86, objdump;
• Virheenkorjaajat: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Jäljitysjärjestelmät: ytsakki, lttrace
• Tutkia: Radare 2, Pyew, Bucks, m2elf, ELF jäsentäjä;
• Työskentely tekstidatan kanssa: SciTE, Geany, puhti;
• Työskentely kuvien kanssa: puuttuu, ImageMagick;
• Työskentely binääritiedostojen kanssa: wxHexEditor, VBinDiff;
• Muistivedosanalyysi: Volatiliteettikehys, löytöjä, AESKeyFinder, RSAKeyFinder, VolDiff, Palauttaa mieleen, linux_mem_diff_tool;
• Suoritettavien PE-tiedostojen analyysi UPX, Bytehist, Tiheys Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, Bucks, RATDekooderit, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Haittaohjelmaanalyysi mobiililaitteille: Androwarn, AndroGuard.

Lähde: opennet.ru