Lançamento do REMnux 7.0, uma distribuição de análise de malware

Cinco anos desde a publicação do último número formado novo lançamento de uma distribuição Linux especializada REM nux 7.0, projetado para estudar e fazer engenharia reversa de código de malware. Durante o processo de análise, o REMnux permite fornecer um ambiente de laboratório isolado no qual é possível emular a operação de um serviço de rede específico sob ataque para estudar o comportamento do malware em condições próximas às reais. Outra área de aplicação do REMnux é o estudo das propriedades de inserções maliciosas em sites implementados em JavaScript.

A distribuição é baseada no pacote Ubuntu 18.04 e usa o ambiente de usuário LXDE. O Firefox vem com o complemento NoScript como navegador da web. A distribuição inclui uma seleção bastante completa de ferramentas para análise de malware, utilitários para engenharia reversa de código, programas para estudar PDFs e documentos de escritório modificados por invasores e ferramentas para monitorar atividades no sistema. Tamanho imagem de inicialização REMnux, formado para lançamento dentro de sistemas de virtualização, é de 5.2 GB. Na nova versão, todas as ferramentas oferecidas foram atualizadas, a composição da distribuição foi significativamente ampliada (o tamanho da imagem da máquina virtual dobrou). A lista de utilitários propostos está dividida em categorias.

O kit inclui o seguinte Ferramentas:

• Análise do site: Bandido, mitmproxy., Edição gratuita do Network Miner, enrolar, wget, Edição gratuita do proxy Burp, Automatizador, pdnstool, Portão, tcpextract, fluxo tcp, passivo.py, CapTipper, yaraPcap.py;
• Análise de vídeos Flash maliciosos: xxxswf, Ferramentas SWF, RABCDAsmo, extrair_swf, alargamento;
• Análise Java: Analisador IDX de cache Java, Descompilador Java JD-GUI, Descompilador JAD Java, Javassista, CFR;
• Análise JavaScript: Depurador Rinoceronte, ExtrairScripts, Macaco aranha, V8, Embelezador JS;
• Análise de PDF: Analisar PDF, PDFobjflow, pdfid, analisador de pdf, peepdf, Origami, PDF RAIO-X Lite, pdftk, swf_mastah, qpdf, pdfressuscitar;
• Análise de documentos do Microsoft Office: analisador de escritório, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Análise de código shell: teste, escape unicode2hex, unicode2raw, dism-isso, shellcode2exe;
• Trazendo a ofuscação para uma forma legível (desofuscação): desXOR, XORStrings, ex_pe_xor, Pesquisa XOR, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzardo, FLOSS
• Extraindo dados de string: strdeobj, pestar, cordas;
• Recuperação de arquivos: principal, bisturi, extrator em massa, Chopper;
• Monitoramento de atividade de rede: Wireshark, ngrep, Despejo TCP, escolher;
• Serviços de rede: DNS falso, nginx, correio falso, Querido, INetSim, Inspire o IRCd, OpenSSH, aceitar todos os ips;
• Utilitários de rede: lindaping.sh, set-static-ip, renovar-dhcp, netcat, Cliente EPIC IRC, túnel de atordoamento, Apenas metadados;
• Trabalhando com uma coleção de exemplos de malware: Maltrieve, Catador de trapos, Víbora, MASTIFE, Batedor de Densidade;
• Definição de assinaturas: Gerador Yara, Extrator IOC, Autorização, Editor de regras, analisador ioc;
• Digitalização: Yara, ClamAV, TRIDEM, ExifTool, envio total de vírus, Disitool;
• Trabalhando com hashes: nsrllookup, Automatizador, Identificador de hash, hash total, profundo, pesquisa total de vírus, VirusTotalApi;
• Análise de malware Linux: sysdig, Unhide
• Desmontadores: Vivisect, Udis86, objdump;
• Depuradores: Depurador de Evan (EDB), Depurador de Projeto GNU (GDB);
• Sistemas de rastreamento: traço, traço
• Investigar: Radar 2, Pyew, Bucks, m2elf, Analisador ELF;
• Trabalhando com dados de texto: SciTE, Geany, Vim;
• Trabalhando com imagens: feh, ImageMagick;
• Trabalhando com arquivos binários: Editor wxHex, VBinDiffName;
• Análise de despejo de memória: Estrutura de Volatilidade, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Lembrar, linux_mem_diff_tool;
• Análise de arquivos PE executáveis UPX, Bytehista, Batedor de Densidade, PackerID, objdump, Udis86, Vivisect, Assinatura, pescador, ExeScan, enp, Quadro, pedestre, Bucks, Decodificadores RATD, Pyew, readpe.py, Extrator PyInstaller, DC3-MWCP;
• Análise de malware para dispositivos móveis: Androavisar, AndroGuard.

Fonte: opennet.ru