Rilascio di REMnux 7.0, una distribuzione di analisi del malware

Cinque anni dalla pubblicazione dell'ultimo numero formato nuova versione di una distribuzione Linux specializzata REM nux 7.0, progettato per studiare e decodificare il codice malware. Durante il processo di analisi, REMnux consente di fornire un ambiente di laboratorio isolato in cui è possibile emulare il funzionamento di uno specifico servizio di rete sotto attacco per studiare il comportamento del malware in condizioni prossime a quelle reali. Un altro campo di applicazione di REMnux è lo studio delle proprietà degli inserti dannosi sui siti web implementati in JavaScript.

La distribuzione si basa sul pacchetto base Ubuntu 18.04 e utilizza l'ambiente utente LXDE. Firefox viene fornito con il componente aggiuntivo NoScript come browser web. Il kit di distribuzione include una selezione abbastanza completa di strumenti per l'analisi del malware, utilità per il reverse engineering del codice, programmi per studiare PDF e documenti Office modificati dagli aggressori e strumenti per monitorare l'attività nel sistema. Misurare immagine di avvio REMnux, formato per varo all'interno dei sistemi di virtualizzazione è di 5.2 GB. Nella nuova versione tutti gli strumenti offerti sono stati aggiornati, la composizione della distribuzione è stata notevolmente ampliata (la dimensione dell'immagine della macchina virtuale è raddoppiata). L'elenco delle utilità proposte è suddiviso in categorie.

Il kit include quanto segue Strumenti:

• Analisi del sito web: Teppista, mimproxy, Edizione gratuita di Network Miner, arricciare, wget, Burp Proxy Edizione gratuita, Automatista, pdnstool, Tor, tcpetract, tcpflow, passivo.py, CapTipper, yaraPcap.py;
• Analisi dei video Flash dannosi: xxxswf, Strumenti SWF, RABCDAsm, estratto_swf, Bagliore;
• Analisi Java: Analizzatore IDX della cache Java, Decompilatore Java JD-GUI, Decompilatore Java JAD, giavasista, CFR;
• Analisi JavaScript: Debug di Rhino, EstrattoScript, Ragno scimmia, V8, Abbellitore JS;
• Analisi PDF: AnalizzaPDF, Pdfobjflow, pdfid, pdf-parser, peepdf, origami, PDF RAGGI X Lite, pdftk, swf_mastah, qpdf, pdfresuscitare;
• Analisi dei documenti di Microsoft Office: officeparser, pyOLEScanner.py, oleotools, libolecfr, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Analisi dello shellcode: sctest, unicode2hex-escape, unicode2raw, dism-questo, shellcode2exe;
• Portare l'offuscamento in una forma leggibile (deoffuscamento): unXOR, XORStringhe, ex_pe_xor, XORCerca, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Falco pescatore, FLOSS
• Estrazione dei dati della stringa: strdeobj, pestr, stringhe;
• Recupero file: Principale, Bisturi, bulk_extractor, Chopper;
• Monitoraggio dell'attività di rete: Wireshark, ngrep, Discarica TCP, tcpick;
• Servizi di rete: DNS falsi, Nginx, fakeMail, Miele, INetSim, Ispira IRCd, OpenSSH, accetta tutti gli ips;
• Utilità di rete: Prettyping.sh, set-ip-statico, rinnova-dhcp, netcat, Cliente IRC EPIC, stordimento, Solo metadati;
• Lavorare con una raccolta di esempi di malware: Maltrieve, Straccione, Vipera, MASTINO, Esploratore della densità;
• Definizione delle firme: YaraGeneratore, Estrattore IOC, Autoregolazione, Editor delle regole, ioc-parser;
• Tipo: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Lavorare con gli hash: nsrllookup, Automatista, Identificatore hash, totalhash, profondo, virustotal-search, VirusTotalApi;
• Analisi del malware Linux: sysdig, unhide
• Disassemblatori: Vivisezionare, Udis86, objdump;
• Debugger: Debugger di Evan (EDB), Debugger del progetto GNU (GDB);
• Sistemi di tracciabilità: straccio, traccia
• Indaga: Radare 2, Pyew, bokken, m2elf, Analizzatore ELF;
• Lavorare con dati di testo: SciTE, Geany, Vim;
• Lavorare con le immagini: feh, ImageMagick;
• Lavorare con file binari: editor wxHex, VBInDiff;
• Analisi del dump della memoria: Quadro di volatilità, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Richiamare, linux_mem_diff_tool;
• Analisi dei file PE eseguibili UPX, Bytehist, Esploratore della densità, PackerID, objdump, Udis86, Vivisezionare, Segnirch, pescanner, ExeScan, pev, Peframe, pedana, bokken, RATDecoder, Pyew, readpe.py, Estrattore PyInstaller, DC3-MWCP;
• Analisi malware per dispositivi mobili: Androwavverti, AndroGuard.

Fonte: opennet.ru