Lansarea REMnux 7.0, o distribuție de analiză a malware-ului

Cinci ani de la publicarea ultimului număr format noua versiune a unei distribuții Linux specializate REM nux 7.0, conceput pentru a studia și a face inginerie inversă a codului malware. În timpul procesului de analiză, REMnux vă permite să oferiți un mediu de laborator izolat în care puteți emula funcționarea unui anumit serviciu de rețea atacat pentru a studia comportamentul malware-ului în condiții apropiate de cele reale. Un alt domeniu de aplicare a REMnux este studiul proprietăților inserțiilor rău intenționate pe site-urile web implementate în JavaScript.

Distribuția este construită pe baza pachetului Ubuntu 18.04 și utilizează mediul de utilizator LXDE. Firefox vine cu suplimentul NoScript ca browser web. Kit-ul de distribuție include o selecție destul de completă de instrumente pentru analiza malware-ului, utilități pentru codul de inginerie inversă, programe pentru studiul PDF-urilor și documentelor de birou modificate de atacatori și instrumente pentru monitorizarea activității din sistem. mărimea imaginea de boot REMnux, format pentru lansa în interiorul sistemelor de virtualizare, este de 5.2 GB. În noua versiune, toate instrumentele oferite au fost actualizate, compoziția distribuției a fost extinsă semnificativ (dimensiunea imaginii mașinii virtuale s-a dublat). Lista utilităților propuse este împărțită pe categorii.

Setul include următoarele Unelte:

• Analiza site-ului: Asasin, mitmproxy, Network Miner Ediție gratuită, răsuci, wget, Burp Proxy Ediție gratuită, Automator, pdnstool, Tor, tcpextract, tcpflow, pasiv.py, CapTipper, yaraPcap.py;
• Analiza videoclipurilor Flash rău intenționate: xxxswf, Instrumente SWF, RABCDAsm, extract_swf, flăcăraie;
• Analiza Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javasist, CFR;
• Analiza JavaScript: Rhino Debugger, Extras Scripturi, Maimuta paianjen, V8, JS Beautifier;
• Analiza PDF: Analizați PDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdf resurrect;
• Analiza documentelor Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Analiza Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-aceasta, shellcode2exe;
• Aducerea ofuscarii într-o formă care poate fi citită (deofuscare): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Osprey, ATA
• Extragerea datelor șirului: strdeobj, pestr, siruri;
• Recuperarea fisierului: În primul rând, Scalpel, bulk_extractor, Chopper;
• Monitorizarea activității în rețea: Wireshark, ngrep, TPCdump, tcpick;
• Servicii de retea: FakeDNS, nginx, fakeMail, Honeyd, INetSim, Inspira IRCd, OpenSSH, accept-toate-ip-urile;
• Utilități de rețea: prettyping.sh, set-static-ip, renew-dhcp, netcat, Client EPIC IRC, stunel, Doar-Metadate;
• Lucrul cu o colecție de exemple de programe malware: Maltrieve, Culegător de cârpe, Viperă, MASTIF, Scout de densitate;
• Definiția semnăturilor: YaraGenerator, IOCextractor, Autorule, Editor de reguli, ioc-parser;
• Scanare: yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool;
• Lucrul cu hashuri: nsrllookup, Automator, Identificator hash, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Analiza malware Linux: Sysdig, Unhide
• Dezasamblatoare: Vivisect, Udis86, objdump;
• Depanatoare: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Sisteme de urmărire: strace, ltrace
• Investiga: Radare 2, Pyew, Buni, m2elf, Analizator ELF;
• Lucrul cu date text: SciTE, Geany, sevă;
• Lucrul cu imagini: feh, ImageMagick;
• Lucrul cu fișiere binare: wxHexEditor, VBinDiff;
• Analiza depozitului de memorie: Cadrul de volatilitate, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Amintiți-vă, linux_mem_diff_tool;
• Analiza fișierelor PE executabile UPX, Bytehist, Scout de densitate, ID ambalator, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, Buni, RATDecoders, Pyew, readpe.py, Extractor PyInstaller, DC3-MWCP;
• Analiza programelor malware pentru dispozitive mobile: Androwarn, AndroGuard.

Sursa: opennet.ru