Release av REMnux 7.0, en distribution av skadlig programvara

Fem år sedan förra numret publicerades bildas ny utgåva av en specialiserad Linux-distribution REM nux 7.0, utformad för att studera och reverse engineering skadlig kod. Under analysprocessen låter REMnux dig tillhandahålla en isolerad laboratoriemiljö där du kan emulera driften av en specifik nätverkstjänst under attack för att studera beteendet hos skadlig programvara under förhållanden nära verkliga. Ett annat tillämpningsområde för REMnux är studiet av egenskaperna hos skadliga inlägg på webbplatser implementerade i JavaScript.

Distributionen är byggd på Ubuntu 18.04-paketbasen och använder LXDE-användarmiljön. Firefox kommer med tillägget NoScript som webbläsare. Distributionspaketet innehåller ett ganska komplett urval av verktyg för att analysera skadlig kod, verktyg för omvänd konstruktionskod, program för att studera PDF-filer och kontorsdokument modifierade av angripare och verktyg för att övervaka aktiviteten i systemet. Storlek startbild REMnux, bildad för lansering i virtualiseringssystem är det 5.2 GB. I den nya versionen har alla erbjudna verktyg uppdaterats, distributionens sammansättning har utökats avsevärt (storleken på den virtuella maskinbilden har fördubblats). Listan över föreslagna verktyg är indelad i kategorier.

Satsen innehåller följande Verktyg:

• Webbplatsanalys: Thug, mitmproxy, Network Miner gratis utgåva, curl, wget, Burp Proxy Free Edition, Betalningsautomater, pdnstol, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Analys av skadliga Flash-videor: xxxswf, SWF-verktyg, RABCDAsm, extract_swf, flare;
• Java-analys: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
• JavaScript-analys: Rhino Debugger, ExtractScripts, Spindelapa, V8, JS Beautifier;
• PDF-analys: Analysera PDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Analys av Microsoft Office-dokument: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Skalkodsanalys: sctest, unicode2hex-escaped, unicode2raw, dism-detta, shellcode2exe;
• Att föra obfuskation till läsbar form (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Fiskgjuse, FLOCK
• Extrahera strängdata: strdeobj, pestr, strängar;
• Filåterställning: Främst, skalpell, bulk_extractor, Chopper;
• Nätverksaktivitetsövervakning: Wireshark, ngrep, TCP Dump, tcpick;
• Nätverkstjänster: FakeDNS, nginx, fakeMail, Honeyd, INetSim, Inspirera IRCd, OpenSSH, acceptera-alla-ips;
• Nätverksverktyg: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC-klient, stunnel, Just-Metadata;
• Arbeta med en samling exempel på skadlig programvara: Maltrieve, Ragpicker, Huggorm, MASTIFF, Density Scout;
• Definition av signaturer: YaraGenerator, IOCextractor, Autorule, Regelredigerare, ioc-parser;
• Läser in: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Arbeta med hash: nsrllookup, Betalningsautomater, Hash-identifierare, totalhash, ssdjup, virustotal-sökning, VirusTotalApi;
• Linux malware analys: Sysdig, Ta fram
• Demonterare: Vivisect, Udis86, objdump;
• Debuggers: Evans Debugger (EDB), GNU Project Debugger (GDB);
• Spårningssystem: strace, Spåra
• Undersöka: Radare 2, Pyew, bokken, m2elf, ELF Parser;
• Arbeta med textdata: SciTE, Geany, vim;
• Arbeta med bilder: feh, ImageMagick;
• Arbeta med binära filer: wxHexEditor, VBinDiff;
• Minnesdumpanalys: Volatilitetsram, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Återkallelse, linux_mem_diff_tool;
• Analys av körbara PE-filer UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, bokken, RATDekoder, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Analys av skadlig programvara för mobila enheter: Androwarn, AndroGuard.

Källa: opennet.ru