Lanzamento de REMnux 7.0, unha distribución de análise de malware

Cinco anos dende a publicación do último número formado nova versión dunha distribución especializada de Linux REM nux 7.0, deseñado para estudar e facer enxeñaría inversa do código de malware. Durante o proceso de análise, REMnux permítelle proporcionar un ambiente de laboratorio illado no que se pode emular o funcionamento dun servizo de rede específico atacado para estudar o comportamento do malware en condicións próximas ás reais. Outra área de aplicación de REMnux é o estudo das propiedades das insercións maliciosas en sitios web implementados en JavaScript.

A distribución está construída na base do paquete Ubuntu 18.04 e usa o contorno de usuario LXDE. Firefox inclúe o complemento NoScript como navegador web. O kit de distribución inclúe unha selección bastante completa de ferramentas para analizar malware, utilidades para código de enxeñaría inversa, programas para estudar PDF e documentos ofimáticos modificados polos atacantes e ferramentas para supervisar a actividade no sistema. Tamaño imaxe de arranque REMnux, formado para lanzamento dentro dos sistemas de virtualización, é de 5.2 GB. Na nova versión, todas as ferramentas ofrecidas foron actualizadas, a composición da distribución ampliouse significativamente (o tamaño da imaxe da máquina virtual duplicouse). A lista de utilidades propostas divídese en categorías.

O kit inclúe o seguinte Ferramentas:

• Análise do sitio web: Matón, mitmproxy, Network Miner edición gratuíta, enrolar, wget, Burp Proxy edición gratuíta, Automatizador, pdnstool, Tor, tcpextract, tcpflow, pasivo.py, CapTipper, yaraPcap.py;
• Análise de vídeos Flash maliciosos: xxxswf, Ferramentas SWF, RABCDAsm, extract_swf, ampliación;
• Análise Java: Analizador IDX de caché de Java, Descompilador Java JD-GUI, Descompilador JAD Java, Javasist, CFR;
• Análise de JavaScript: Depurador Rhino, Scripts de extracción, Mono Araña, V8, JS Embellecedor;
• Análise PDF: Analizar PDF, Pdfobjflow, pdfid, analizador de pdf, peepdf, origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdf resucitar;
• Análise de documentos de Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Análise de Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-isto, shellcode2exe;
• Poner a ofuscación en forma lexible (desofuscación): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NonMoreXOR, XORBruteForcer, Balbuzard, FLOSS
• Extraendo datos de cadea: strdeobj, praga, cordas;
• Recuperación de ficheiros: O máis importante, Bisturiña, bulk_extractor, Chopper;
• Monitorización da actividade da rede: Wireshark, ngrep, Descarga de TCP, tcpick;
• Servizos de rede: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, aceptar-todas-ips;
• Utilidades de rede: bonito.sh, set-static-ip, renovar-dhcp, netcat, Cliente EPIC IRC, estupendo, Só-Metadatos;
• Traballando cunha colección de exemplos de malware: Maltrieve, Trapo, víbora, MASTÍN, Scout de densidade;
• Definición de sinaturas: YaraGenerator, IOCextractor, Autorula, Editor de regras, ioc-analizador;
• Escaneando: ferida, ClamAV, TRID, ExifTool, virustotal-submit, Disitool;
• Traballando con hash: nsrllookup, Automatizador, Identificador hash, hash total, ssdeep, virustotal-search, VirusTotalApi;
• Análise de malware de Linux: Sysdig, Unhide
• Desensambladores: Vivisecto, Udis86, objdump;
• Depuradores: Depurador de Evan (EDB), Depurador de proxectos GNU (GDB);
• Sistemas de rastrexo: strace, ltrace
• Investiga: Radar 2, Pyew, bokken, m2elf, Analizador ELF;
• Traballar con datos de texto: SciTE, Geany, vitalidade;
• Traballando con imaxes: feh, ImageMagick;
• Traballando con ficheiros binarios: wxHexEditor, VBinDiff;
• Análise de descarga de memoria: Marco de volatilidade, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
• Análise de ficheiros PE executables UPX, Bytehist, Scout de densidade, ID embalador, objdump, Udis86, Vivisecto, Signsrch, pescaneiro, ExeScan, pev, Peframe, pedump, bokken, RATDecodificadores, Pyew, readpe.py, Extractor PyInstaller, DC3-MWCP;
• Análise de malware para dispositivos móbiles: Androwarn, AndroGuard.

Fonte: opennet.ru