Wydanie REMnux 7.0, dystrybucji analizy złośliwego oprogramowania

Pięć lat od ukazania się ostatniego numeru uformowany nowa wersja specjalistycznej dystrybucji Linuksa REM nux 7.0, przeznaczony do badania i inżynierii wstecznej kodu złośliwego oprogramowania. Podczas procesu analizy REMnux pozwala zapewnić izolowane środowisko laboratoryjne, w którym można emulować działanie konkretnej atakowanej usługi sieciowej, aby badać zachowanie złośliwego oprogramowania w warunkach zbliżonych do rzeczywistych. Kolejnym obszarem zastosowań REMnux jest badanie właściwości szkodliwych wstawek na stronach internetowych zaimplementowanych w JavaScript.

Dystrybucja jest zbudowana na bazie pakietu Ubuntu 18.04 i wykorzystuje środowisko użytkownika LXDE. Firefox jest wyposażony w dodatek NoScript jako przeglądarka internetowa. Zestaw dystrybucyjny zawiera dość kompletny zestaw narzędzi do analizy złośliwego oprogramowania, narzędzia do inżynierii wstecznej kodu, programy do badania plików PDF i dokumentów biurowych zmodyfikowanych przez atakujących oraz narzędzia do monitorowania aktywności w systemie. Rozmiar obraz rozruchowy REMnux, utworzony dla szalupa w systemach wirtualizacyjnych jest to 5.2 GB. W nowej wersji zaktualizowano wszystkie oferowane narzędzia, znacznie rozszerzono skład dystrybucji (podwoił się rozmiar obrazu maszyny wirtualnej). Lista proponowanych mediów jest podzielona na kategorie.

Zestaw zawiera następujące elementy Narzędzia:

• Analiza strony internetowej: Bandyta, mitmproxy, Wersja bezpłatna Network Minera, curl, wget, Wersja bezpłatna Burp Proxy, Automat, pdnstołek, Tor, ekstrakt tcp, przepływ tcp, pasywny.py, CapTipper, yaraPcap.py;
• Analiza złośliwych filmów Flash: xxxswf, Narzędzia SWF, RABCDAsm, ekstrakt_swf, Migotać;
• Analiza Java: Parser IDX pamięci podręcznej Java, Dekompilator Java JD-GUI, Dekompilator Java JAD, Javasist, CFR;
• Analiza JavaScriptu: Debuger Rhino, Wyodrębnij skrypty, Pająk Małpa, V8, JS Upiększacz;
• Analiza PDF: AnalizujPDF, Pdfobjflow, pdfid, parser pdf, peepdf, Origami, PDF RTG Lite, pdftk, swf_mastah, qpdf, pdfzmartwychwstanie;
• Analiza dokumentów Microsoft Office: parser biurowy, pyOLEScanner.py, oletoole, libolecf, oledump, emldump, MSGKonwertuj, base64dump.py, unicode;
• Analiza kodu powłoki: test, unicode2hex ze zmianą znaczenia, unicode2raw, dism-to, kod powłoki2exe;
• Doprowadzenie zaciemnienia do czytelnej formy (odciemnienie): unXOR, XORStringi, ex_pe_xor, Wyszukiwanie XOR, brxor.py, xortool, NieWięcejXOR, XORBruteForcer, Rybołów, OPLĄT
• Wyodrębnianie danych ciągu: strdeobj, pestr, smyczki;
• Odzyskiwanie plików: Główny, Skalpel, ekstraktor_luzowy, Siekacz;
• Monitorowanie aktywności sieciowej: Wireshark, ngep, Zrzut TCP, wybierz;
• Usługi sieciowe: Fałszywy DNS, nginx, fałszywyMail, Kochanie, INetSim, Inspiruj IRCd, OpenSSH, akceptuj-wszystkie-ips;
• Narzędzia sieciowe: ładna.sh, set-static-ip, odnów-dhcp, netcat, EPICKI klient IRC, stunnel, Tylko metadane;
• Praca z kolekcją przykładów złośliwego oprogramowania: Maltrieve, Ragpicker, żmija, DOG ANGIELSKI, Zwiadowca gęstości;
• Definicja podpisów: Generator Yara, Ekstraktor IOC, Autorula, Edytor reguł, parser ioc;
• Skanowanie: Yara, ClamAV, Tridata, ExifTool, Virustotal-submit, Disitool;
• Praca z skrótami: nsrllookup, Automat, Identyfikator skrótu, totalhash, ssgłębokie, Virustotal-search, VirusTotalApi;
• Analiza złośliwego oprogramowania dla systemu Linux: Sysdig, Odkryj
• Deasemblery: wiwisekt, Udis86, objdump;
• Debugery: Debuger Evana (EDB), Debuger projektu GNU (GDB);
• Systemy śledzenia: strace, ślad
• Zbadać: Radar 2, Pyw, Bucks, m2elf, Analizator ELF;
• Praca z danymi tekstowymi: NAUKA, Geany, Vim;
• Praca z obrazami: fej, ImageMagick;
• Praca z plikami binarnymi: wxHexEdytor, VBinDiff;
• Analiza zrzutu pamięci: Ramy zmienności, znaleźć, AESKeyFinder, RSAKeyFinder, VolDiff, Przypomnienie sobie czegoś, linux_mem_diff_tool;
• Analiza wykonywalnych plików PE UPX, Bajteista, Zwiadowca gęstości, PackerID, objdump, Udis86, wiwisekt, Znak, peskaner, ExeScan, Pev, Peframe, pedofil, Bucks, Dekodery RAT, Pyw, readpe.py, Ekstraktor PyInstaller, DC3-MWCP;
• Analiza złośliwego oprogramowania dla urządzeń mobilnych: Androwarn, AndroGuard.

Źródło: opennet.ru