Utgivelse av REMnux 7.0, en distribusjon for analyse av skadelig programvare

Fem år siden utgivelsen av siste nummer dannet ny utgivelse av en spesialisert Linux-distribusjon REM nux 7.0, designet for å studere og reversere skadelig kode. Under analyseprosessen lar REMnux deg tilby et isolert laboratoriemiljø der du kan emulere driften av en spesifikk nettverkstjeneste under angrep for å studere oppførselen til skadelig programvare under forhold som er nær reelle. Et annet bruksområde for REMnux er studiet av egenskapene til ondsinnede innlegg på nettsteder implementert i JavaScript.

Distribusjonen er bygget på Ubuntu 18.04-pakkebasen og bruker LXDE-brukermiljøet. Firefox kommer med NoScript-tillegget som nettleser. Distribusjonssettet inneholder et ganske komplett utvalg av verktøy for å analysere skadelig programvare, verktøy for omvendt utviklingskode, programmer for å studere PDF-er og kontordokumenter modifisert av angripere, og verktøy for å overvåke aktivitet i systemet. Størrelse oppstartsbilde REMnux, dannet for lanseringen inne i virtualiseringssystemer er det 5.2 GB. I den nye utgivelsen har alle tilbudte verktøy blitt oppdatert, sammensetningen av distribusjonen er betydelig utvidet (størrelsen på det virtuelle maskinbildet er doblet). Listen over foreslåtte verktøy er delt inn i kategorier.

Settet inneholder følgende Verktøy:

• Nettstedsanalyse: Thug, mitmproxy, Network Miner Free Edition, curl, wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Analyse av ondsinnede Flash-videoer: xxxswf, SWF-verktøy, RABCDAsm, extract_swf, flare;
• Java-analyse: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javasist, CFR;
• JavaScript-analyse: Rhino Debugger, ExtractScripts, Edderkoppape, V8, JS Beautifier;
• PDF-analyse: Analyser PDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Analyse av Microsoft Office-dokumenter: officeparser, pyOLEScanner.py, oleverktøy, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Shellcode analyse: sctest, unicode2hex-escaped, unicode2raw, dism-dette, shellcode2exe;
• Bringe obfuskering til lesbar form (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Fiskeørn, TANNTRÅD
• Trekker ut strengdata: strdeobj, pestr, strenger;
• Filgjenoppretting: fremst, skalpell, bulk_extractor, Chopper;
• Nettverksaktivitetsovervåking: Wireshark, ngrep, TCP Dump, tcpick;
• Nettverkstjenester: Falsk DNS, Nginx, fakeMail, Honeyd, INetSim, Inspirer IRCd, OpenSSH, aksepter alle-ips;
• Nettverksverktøy: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC-klient, tunnel, Bare-metadata;
• Arbeide med en samling eksempler på skadelig programvare: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout;
• Definisjon av signaturer: YaraGenerator, IOCextractor, Autorule, Regelredaktør, ioc-parser;
• Skanning: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Arbeide med hash: nsrllookup, Automater, Hash-identifikator, totalhash, ssdyp, virustotal-søk, VirusTotalApi;
• Linux malware analyse: Sysdig, Unhide
• Demontører: Vivisect, Udis86, objdump;
• Debuggere: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Sporingssystemer: strace, spore
• Undersøk: Radare 2, Pyew, Bucks, m2elf, ELF Parser;
• Arbeide med tekstdata: SciTE, Geany, Vim;
• Arbeid med bilder: FEH, ImageMagick;
• Arbeide med binære filer: wxHexEditor, VBinDiff;
• Minnedumpanalyse: Volatilitetsrammeverk, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Minnes, linux_mem_diff_tool;
• Analyse av kjørbare PE-filer UPX, Bytehist, Density Scout, Pakker-ID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, Bucks, RAT-dekodere, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Analyse av skadelig programvare for mobile enheter: Androwarn, AndroGuard.

Kilde: opennet.ru