Megjelent a REMnux 7.0, egy rosszindulatú programelemző disztribúció

Öt éve az utolsó szám megjelenése óta alakított egy speciális Linux disztribúció új kiadása REM nux 7.0, amelyet a rosszindulatú programok kódjának tanulmányozására és visszafejtésére terveztek. Az elemzési folyamat során a REMnux lehetővé teszi, hogy egy elszigetelt laboratóriumi környezetet biztosítson, amelyben emulálhatja egy adott hálózati szolgáltatás működését támadás alatt, hogy tanulmányozza a rosszindulatú programok viselkedését a valódihoz közeli körülmények között. A REMnux másik alkalmazási területe a JavaScript-ben implementált webhelyeken található rosszindulatú beillesztések tulajdonságainak tanulmányozása.

A disztribúció az Ubuntu 18.04 csomagbázisra épül, és az LXDE felhasználói környezetet használja. A Firefox webböngészőként a NoScript kiegészítővel érkezik. A disztribúciós készlet meglehetősen teljes választékot tartalmaz a rosszindulatú programok elemzésére szolgáló eszközökről, a visszafejtési kód segédprogramjairól, a PDF-ek és a támadók által módosított irodai dokumentumok tanulmányozására szolgáló programokról, valamint a rendszerben végzett tevékenység megfigyelésére szolgáló eszközökről. Méret rendszerindító kép REMnux, erre alapítva dob virtualizációs rendszereken belül 5.2 GB. Az új kiadásban minden felajánlott eszköz frissült, a disztribúció összetétele jelentősen bővült (a virtuális gép képének mérete megduplázódott). A javasolt közművek listája kategóriákra van osztva.

A készlet a következőket tartalmazza Tools:

• Weboldal elemzés: Orgyilkos, mitmproxy, Network Miner ingyenes kiadás, becsavar, wget, Burp Proxy ingyenes kiadás, Automatizáló, pdnstool, Tor, tcpextract, tcpflow, passzív.py, CapTipper, yaraPcap.py;
• Rosszindulatú Flash-videók elemzése: xxxswf, SWF eszközök, RABCDAsm, kivonat_swf, Fellobbanás;
• Java elemzés: Java Cache IDX elemző, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
• JavaScript elemzés: Rhino Debugger, ExtractScripts, Pók majom, V8, JS Szépítő;
• PDF elemzés: PDF elemzése, Pdfobjflow, pdfid, pdf-elemző, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Microsoft Office dokumentumok elemzése: irodai elemző, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Shellcode elemzés: sctest, unicode2hex-kiváltott, unicode2raw, dism-ezt, shellcode2exe;
• Az obfuszkáció olvasható formába hozása (deobfuszkáció): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, HERNYÓSELYEM
• Karakterlánc adatok kinyerése: strdeobj, pestr, húrok;
• Fájl helyreállítás: Legelső, Sebészkés, bulk_extractor, Chopper;
• Hálózati tevékenység figyelése: Wireshark, ngrep, TCP Dump, tcpick;
• Hálózati szolgáltatások: Hamis DNS, nginx, fakeMail, Mézes, INetSim, Inspirálja az IRCd-t, OpenSSH, accept-all-ips;
• Hálózati segédprogramok: csinos.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC kliens, kábító, Csak-Metaadatok;
• Munka a rosszindulatú programok gyűjteményével: Maltrieve, Ragpicker, vipera, MÉSZÁROSKUTYA, Sűrűség Scout;
• Az aláírások meghatározása: YaraGenerator, IOCextractor, Autorule, Szabályszerkesztő, ioc-elemző;
• Szkennelés: Yara, ClamAV, TRIDATA, ExifTool, virustotal-submit, Disitool;
• Munka hashekkel: nsrllookup, Automatizáló, Hash azonosító, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Linux malware elemzés: Sysdig, felfedése
• Szétszerelők: Élve boncol, Udis86, objdump;
• Hibakeresők: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Nyomkövetési rendszerek: Eztán, ltnyom
• Vizsgálja: Radare 2, Pyew, Bucks, m2elf, ELF elemző;
• Munka szöveges adatokkal: SciTE, Geany, életkedv;
• Munka képekkel: feh, ImageMagicknek;
• Munka bináris fájlokkal: wxHexEditor, VBinDiff;
• Memória dump elemzés: Volatilitási keretrendszer, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Visszahívás, linux_mem_diff_tool;
• Futtatható PE fájlok elemzése UPX, Bytehist, Sűrűség Scout, PackerID, objdump, Udis86, Élve boncol, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bucks, RATDekóderek, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Rosszindulatú programok elemzése mobileszközökön: Androwarn, AndroGuard.

Forrás: opennet.ru