Uitgave van REMnux 7.0, een distributie voor malwareanalyse

Vijf jaar sinds de publicatie van het laatste nummer gevormd nieuwe release van een gespecialiseerde Linux-distributie REM nux 7.0, ontworpen om malwarecode te bestuderen en reverse-engineeren. Tijdens het analyseproces kunt u met REMnux een geïsoleerde laboratoriumomgeving bieden waarin u de werking van een specifieke netwerkdienst die wordt aangevallen kunt emuleren om het gedrag van malware te bestuderen in omstandigheden die dicht bij de echte omstandigheden liggen. Een ander toepassingsgebied van REMnux is het onderzoek naar de eigenschappen van kwaadaardige invoegingen op websites die in JavaScript zijn geïmplementeerd.

De distributie is gebouwd op de Ubuntu 18.04-pakketbasis en maakt gebruik van de LXDE-gebruikersomgeving. Firefox wordt geleverd met de NoScript-add-on als webbrowser. De distributiekit bevat een redelijk complete selectie tools voor het analyseren van malware, hulpprogramma's voor reverse engineering-code, programma's voor het bestuderen van PDF's en kantoordocumenten die door aanvallers zijn aangepast, en tools voor het monitoren van de activiteit in het systeem. Maat opstart afbeelding REMnux, opgericht voor lancering binnen virtualisatiesystemen is dit 5.2 GB. In de nieuwe release zijn alle aangeboden tools bijgewerkt, de samenstelling van de distributie is aanzienlijk uitgebreid (de grootte van de virtuele machine-image is verdubbeld). De lijst met voorgestelde hulpprogramma's is onderverdeeld in categorieën.

De kit bevat het volgende Gereedschap:

• Website-analyse: Gangster, mitmproxy, Network Miner gratis editie, krullen, wget, Burp Proxy gratis editie, Automateur, pdnstool, Tor, tcpextract, tcpflow, passief.py, KapKipper, yaraPcap.py;
• Analyse van kwaadaardige Flash-video's: xxxswf, SWF-tools, RABCDAsme, extract_swf, Gloed;
• Java-analyse: Java Cache IDX-parser, JD-GUI Java-decompiler, JAD Java-decompiler, Java-assistent, CFR;
• JavaScript-analyse: Rhino-debugger, ExtractScripts, Spin aap, V8, JS Verfraaier;
• PDF-analyse: AnalyseerPDF, Pdfobjflow, pdfid, pdf-parser, plaspdf, Origami, PDF-X-RAY Lite, pdftk, swf_mastah, qpdf, pdfopstanding;
• Analyse van Microsoft Office-documenten: kantoorparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Shellcode-analyse: sctest, unicode2hex-escaped, unicode2raw, dism-dit, shellcode2exe;
• Verduistering in leesbare vorm brengen (deobfuscatie): unXOR, XORStrings, ex_pe_xor, XORZoeken, brxor.py, xortool, GeenMeerXOR, XORBruteForcer, Visarend, FLOSS
• Stringgegevens extraheren: strdeobj, pestr, strings;
• Bestandherstel: voorop, scalpel, bulk_extractor, Bijl;
• Monitoring van netwerkactiviteit: Wireshark, ngep, TCP-dump, tcpick;
• Netwerkdiensten: FakeDNS, Nginx, nepMail, schatje, INetSim, IRCd inspireren, OpenSSH, accepteer alle ips;
• Netwerkhulpprogramma's: mooi.sh, set-statisch-ip, vernieuwen-dhcp, netcat, EPIC IRC-client, stunnel, Gewoon metadata;
• Werken met een verzameling malwarevoorbeelden: Maltrieve, Voddenplukker, adder, MASTIFF, Dichtheidsverkenner;
• Definitie van handtekeningen: YaraGenerator, IOCextractor, Autorule, Regel-editor, ioc-parser;
• Scannen: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Werken met hashes: nsrlopzoeken, Automateur, Hash-identificatie, totale hasj, diep, virustotal-zoeken, VirusTotalApi;
• Linux-malwareanalyse: Sysdig, Zichtbaar maken
• Demontagemachines: Vivesecten, Udis86, object;
• Debuggers: Evans Debugger (EDB), GNU Project Debugger (GDB);
• Traceersystemen: spoor, ltrace
• Onderzoeken: Radar 2, Pyew, bokken, m2elf, ELF-parser;
• Werken met tekstgegevens: Wetenschap, Geany, Vim;
• Werken met afbeeldingen: FEH, ImageMagick;
• Werken met binaire bestanden: wxHex Editor, VBinVerschil;
• Analyse van geheugendumps: Volatiliteitskader, vondsten, AESKeyFinder, RSAKeyFinder, VolVerschil, Herinneren, linux_mem_diff_tool;
• Analyse van uitvoerbare PE-bestanden UPX, Bytehistisch, Dichtheidsverkenner, PackerID, object, Udis86, Vivesecten, Tekenrch, pescanner, ExeScan, PEV, Peframe, pedumpen, bokken, RAT-decoders, Pyew, leespe.py, PyInstaller-extractor, DC3-MWCP;
• Malwareanalyse voor mobiele apparaten: Androwaarschuw, AndroGuard.

Bron: opennet.ru