การเปิดตัว REMnux 7.0 ซึ่งเป็นการกระจายการวิเคราะห์มัลแวร์

ห้าปีนับตั้งแต่การตีพิมพ์ฉบับล่าสุด ก่อตัวขึ้น รุ่นใหม่ของการแจกจ่าย Linux แบบพิเศษ REMnux7.0ออกแบบมาเพื่อศึกษาและทำวิศวกรรมย้อนกลับโค้ดมัลแวร์ ในระหว่างกระบวนการวิเคราะห์ REMnux ช่วยให้คุณสามารถจัดเตรียมสภาพแวดล้อมห้องปฏิบัติการที่แยกออกมา ซึ่งคุณสามารถจำลองการทำงานของบริการเครือข่ายเฉพาะที่ถูกโจมตี เพื่อศึกษาพฤติกรรมของมัลแวร์ในสภาวะที่ใกล้เคียงกับของจริง แอปพลิเคชัน REMnux อีกด้านคือการศึกษาคุณสมบัติของส่วนแทรกที่เป็นอันตรายบนเว็บไซต์ที่ใช้งานใน JavaScript

การแจกจ่ายนี้สร้างขึ้นบนฐานแพ็คเกจ Ubuntu 18.04 และใช้สภาพแวดล้อมผู้ใช้ LXDE Firefox มาพร้อมกับโปรแกรมเสริม NoScript เป็นเว็บเบราว์เซอร์ ชุดการแจกจ่ายประกอบด้วยเครื่องมือที่ค่อนข้างครบถ้วนสำหรับการวิเคราะห์มัลแวร์ ยูทิลิตี้สำหรับโค้ดวิศวกรรมย้อนกลับ โปรแกรมสำหรับศึกษา PDF และเอกสารสำนักงานที่แก้ไขโดยผู้โจมตี และเครื่องมือสำหรับตรวจสอบกิจกรรมในระบบ ขนาด ภาพบูต REMnux สร้างขึ้นเพื่อ ยิง ภายในระบบเวอร์ช่วลไลเซชั่นคือ 5.2 GB ในรุ่นใหม่ เครื่องมือที่นำเสนอทั้งหมดได้รับการอัปเดต องค์ประกอบของการแจกจ่ายได้รับการขยายอย่างมาก (ขนาดของอิมเมจเครื่องเสมือนเพิ่มขึ้นสองเท่า) รายการยูทิลิตี้ที่นำเสนอแบ่งออกเป็นหมวดหมู่

ชุดประกอบด้วยสิ่งต่อไปนี้ เครื่องมือ:

• การวิเคราะห์เว็บไซต์: อันธพาล, มิทม์พร็อกซี, เครือข่าย Miner รุ่นฟรี, โค้ง, wget, Burp Proxy รุ่นฟรี, ออโตเมเตอร์, pdnstool, ยอดหินของภูเขา, tcpextract, tcpโฟลว์, passive.py, แคปทิปเปอร์, yaraPcap.py;
• การวิเคราะห์วิดีโอ Flash ที่เป็นอันตราย: xxxswf, เครื่องมือ SWF, RABCDAsm, extract_swf, เปลวไฟ;
• การวิเคราะห์จาวา: ตัวแยกวิเคราะห์แคช Java IDX, JD-GUI Java Decompiler, JAD Java Decompiler, ชวาซิสต์, CFR;
• การวิเคราะห์จาวาสคริปต์: แรดดีบักเกอร์, แยกสคริปต์, ลิงแมงมุม, V8, เจ เอส บิวติฟายเออร์;
• การวิเคราะห์ PDF: วิเคราะห์PDF, Pdfobjflow, pdfid.pdf, pdf-parser.pdf, peepdf, Origami, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdf คืนชีพ;
• การวิเคราะห์เอกสาร Microsoft Office: เจ้าหน้าที่แยกวิเคราะห์, pyOLEScanner.py, โอเลทูลส์, ลิโบเลค, โอเลดัมป์, เอ็มลดัมพ์, ผงชูรสแปลง, base64dump.py, Unicode;
• การวิเคราะห์เชลล์โค้ด: ทดสอบ, unicode2hex-escape, unicode2raw, dism-นี้, เชลล์โค้ด2exe;
• นำความสับสนมาสู่รูปแบบที่อ่านง่าย (deobfuscation): ยกเลิก XOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, เอ็กซ์ออร์ทูล, ไม่มีอีกแล้วXOR, XORBruteForcer, บัลบูซาร์ด, ฟลอส
• แยกข้อมูลสตริง: strdeobj, ศัตรูพืช, เงื่อนไข;
• การกู้คืนไฟล์: สำคัญ, มีดผ่าตัด, Bulk_extractor, ชอปเปอร์;
• การตรวจสอบกิจกรรมเครือข่าย: Wireshark, งเกรป, TCP Dump, tcpick;
• บริการเครือข่าย: DNS ปลอม, Nginx, เมลปลอม, ฮันนี่, ไอเน็ตซิม, สร้างแรงบันดาลใจ IRCd, OpenSSH, ยอมรับ-ips ทั้งหมด;
• ยูทิลิตี้เครือข่าย: สวย.sh, set-static-ip, ต่ออายุ-dhcp, เน็ตแคท, ไคลเอนต์ EPIC IRC, stunnel, เพียงเมตาดาต้า;
• การทำงานกับชุดตัวอย่างมัลแวร์: มัลทรีฟ, แร็กพิกเกอร์, ไวเปอร์, มาสทิฟฟ์, ลูกเสือหนาแน่น;
• คำจำกัดความของลายเซ็น: ยาราเจนเนอเรเตอร์, ไอโอสกัด, กฎอัตโนมัติ, ผู้แก้ไขกฎ, ioc-parser;
• การสแกน: Yara, ClamAV, Tridata, ExifTool, virustotal-ส่ง, ดิซิทูล;
• การทำงานกับแฮช: nsrllookup, ออโตเมเตอร์, ตัวระบุแฮช, แฮชทั้งหมด, ลึก, ค้นหาไวรัสทั้งหมด, ไวรัสโททอลเอพี;
• การวิเคราะห์มัลแวร์ Linux: ซิสดิก, ยกเลิกการซ่อน
• เครื่องถอดประกอบ: วิวิเซกท์, อูดิส86, ขยะ;
• ดีบักเกอร์: ดีบักเกอร์ของ Evan (EDB), ดีบักเกอร์โครงการ GNU (GDB);
• ระบบติดตาม: สเตรซ, ลิเทรซ
• สอบสวน: เรดาร์ 2, เปียว, bokken, m2เอลฟ์, เอลฟ์พาร์เซอร์;
• การทำงานกับข้อมูลข้อความ: วิทย์, Geany, เป็นกลุ่ม;
• การทำงานกับรูปภาพ: เฟ, ImageMagick;
• การทำงานกับไฟล์ไบนารี: wxHexEditor, VBinDiff;
• การวิเคราะห์ดัมพ์หน่วยความจำ: กรอบความผันผวน, ค้นหา, AESKeyFinder, RSAKeyFinder, โวลดิฟ, จำ, linux_mem_diff_tool;
• การวิเคราะห์ไฟล์ PE ที่ปฏิบัติการได้ ส่วนขยาย UPX, ไบต์ฮิสต์, ลูกเสือหนาแน่น, PackerID, ขยะ, อูดิส86, วิวิเซกท์, Signsrch, เครื่องเพสสแกน, เอ็กซ์สแกน, เพฟ, เพเฟรม, คนเดินเท้า, bokken, RATDecoders, เปียว, readpe.py, ตัวแยก PyInstaller, DC3-MWCP;
• การวิเคราะห์มัลแวร์สำหรับอุปกรณ์มือถือ: อันโดรวาร์น, แอนโดรการ์ด.

ที่มา: opennet.ru