Izdaja REMnux 7.0, distribucije za analizo zlonamerne programske opreme

Pet let od izida zadnje številke oblikovana nova izdaja specializirane distribucije Linuxa REM nux 7.0, zasnovan za preučevanje in obratno inženirstvo kode zlonamerne programske opreme. Med postopkom analize vam REMnux omogoča, da zagotovite izolirano laboratorijsko okolje, v katerem lahko posnemate delovanje določene omrežne storitve, ki je napadena, da preučite vedenje zlonamerne programske opreme v pogojih, ki so blizu dejanskim. Drugo področje uporabe REMnuxa je preučevanje lastnosti zlonamernih vstavkov na spletnih mestih, implementiranih v JavaScript.

Distribucija je zgrajena na osnovi paketa Ubuntu 18.04 in uporablja uporabniško okolje LXDE. Firefox je kot spletni brskalnik opremljen z dodatkom NoScript. Distribucijski komplet vključuje dokaj popoln izbor orodij za analizo zlonamerne programske opreme, pripomočke za povratno inženirsko kodo, programe za preučevanje PDF-jev in pisarniških dokumentov, ki so jih spremenili napadalci, ter orodja za spremljanje dejavnosti v sistemu. Velikost zagonska slika REMnux, oblikovan za začetek znotraj virtualizacijskih sistemov je 5.2 GB. V novi izdaji so bila vsa ponujena orodja posodobljena, sestava distribucije je bila bistveno razširjena (velikost slike virtualnega stroja se je podvojila). Seznam predlaganih pripomočkov je razdeljen na kategorije.

Komplet vključuje naslednje Orodja:

• Analiza spletne strani: Razbojnik, mitmproxy, Brezplačna izdaja mrežnega rudarja, curl, wget, Brezplačna izdaja Burp Proxy, Avtomatik, pdnstool, tor, tcpextract, tcpflow, pasivno.py, CapTipper, yaraPcap.py;
• Analiza zlonamernih videoposnetkov Flash: xxxswf, Orodja SWF, RABCDAsm, izvleček_swf, flare;
• Java analiza: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javasist, CFR;
• JavaScript analiza: Razhroščevalnik Rhino, ExtractScripts, SpiderMonkey, V8, JS Beautifier;
• PDF analiza: AnalizirajtePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Analiza dokumentov Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Analiza shellcode: sctest, ubežni unicode2hex, unicode2raw, dism-to, shellcode2exe;
• Prenos zamegljenosti v berljivo obliko (razmegljevanje): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, NITKA
• Ekstrahiranje podatkov niza: strdeobj, pestr, strune;
• Obnovitev datoteke: Predvsem, Skalpel, bulk_extractor, Sesekljalnik;
• Spremljanje omrežne aktivnosti: Wireshark, ngrep, Izpis TCP, tcpick;
• Omrežne storitve: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Navdihni IRCd, OpenSSH, sprejme-vse-ips;
• Omrežni pripomočki: prettyping.sh, set-static-ip, renew-dhcp, netcat, Odjemalec EPIC IRC, Šunelj, Samo metapodatki;
• Delo z zbirko primerov zlonamerne programske opreme: Maltrieve, Pobiralec cunj, Viper, MASTIF, Skavt za gostoto;
• Opredelitev podpisov: YaraGenerator, IOCextractor, Samodejno pravilo, Urejevalnik pravil, ioc-razčlenjevalnik;
• Skeniranje: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Delo z zgoščenimi vrednostmi: nsrllookup, Avtomatik, Hash identifikator, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Analiza zlonamerne programske opreme Linux: Sysdig, Razkrij
• Razstavljalci: Vivisect, Udis86, objdump;
• Razhroščevalniki: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Sistemi sledenja: strace, ltrace
• Raziščite: Radar 2, Pyew, bokken, m2elf, Razčlenjevalnik ELF;
• Delo z besedilnimi podatki: SciTE, Geany, Vim;
• Delo s slikami: feh, ImageMagick;
• Delo z binarnimi datotekami: wxHexEditor, VBinDiff;
• Analiza izpisa pomnilnika: Okvir za nestanovitnost, najdbe, AESKeyFinder, RSAKeyFinder, VolDiff, Odpoklic, linux_mem_diff_tool;
• Analiza izvršljivih datotek PE UPX, Bytehist, Skavt za gostoto, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, enp, Peframe, pedump, bokken, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Analiza zlonamerne programske opreme za mobilne naprave: Androwarn, AndroGuard.

Vir: opennet.ru