Випуск REMnux 7.0, дистрибутива для аналізу шкідливого ПЗ

Через п'ять років після публікації минулого випуску сформований новий реліз спеціалізованого Linux-дистрибутиву REM nux 7.0, призначеного для вивчення та зворотного інжинірингу коду шкідливих програм. В процесі аналізу REMnux дозволяє забезпечити умови ізольованого лабораторного оточення, в якому можна емулювати роботу певного мережевого сервісу, що атакується, для вивчення поведінки шкідливого ПЗ в умовах наближених до реальних. Іншою сферою застосування REMnux є вивчення властивостей шкідливих вставок на web-сайтах, реалізованих на JavaScript.

Дистрибутив побудований на пакетній базі Ubuntu 18.04 і використовує оточення користувача LXDE. Як web-браузер поставляється Firefox з доповненням NoScript. У комплект дистрибутива включена досить повна добірка інструментів для аналізу шкідливого ПЗ, утиліт для проведення інжинірингу зворотного коду, програм для вивчення модифікованих зловмисниками PDF і офісних документів, засобів моніторингу активності в системі. Розмір завантажувального образу REMnux, сформованого для запуску всередині систем віртуалізації становить 5.2 Гб. У новому випуску оновлено всі запропоновані інструменти, суттєво розширено склад дистрибутива (розмір образу віртуальної машини збільшився вдвічі). Список запропонованих утиліт розбитий на категорії.

У комплект входять такі інструменти:

• Аналіз web-сайтів: головоріз, mitmproxy, Network Miner Free Edition, витися, wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Аналіз шкідливих Flash-роликів: xxxswf, SWF Tools, RABCDAsm, extract_swf, Спалах;
• Аналіз Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Явасіст, CFR;
• Аналіз JavaScript: Rhino Debugger, ExtractScripts, Павук -Мавпа, V8, JS Beautifier;
• Аналіз PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Орігамі, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfresurrect;
• Аналіз документів Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, Unicode;
• Аналіз Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
• Приведення заплутаного коду в вид, що читається (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, ФЛОСИ
• Вилучення рядкових даних: strdeobj, pestr, струни;
• Відновлення файлів: в першу чергу, скальпель, bulk_extractor, Хачоар;
• Моніторинг мережної активності: Wireshark, ngrep, TCP Dump, tcpick;
• Мережеві сервіси: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips;
• Мережеві утиліти: prettyping.sh, set-static-ip, renew-dhcp, netcat, EPIC IRC Client, Stunnel, Just-Metadata;
• Робота з колекцією прикладів шкідливого ПЗ: Maltrieve, Ragpicker, Гадюка, МАСТИФ, Density Scout;
• Визначення сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
• Сканування: Yara, ClamAV, TRIDEM, ExifTool, virustotal-submit, Disitool;
• Робота з хешами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
• Аналіз шкідливого ПЗ для Linux: sysdig, Відкрийте
• Дизассемблери: Vivisect, Udis86, objdump;
• Відладники: Evan's Debugger (EDB), GNU Project Debugger (GDB);
• Системи трасування: страйк, ltrace
• Дослідити: Radare 2, Pyew, Боккен, m2elf, ELF Parser;
• Робота з текстовими даними: SciTE, Geany, Vim;
• Робота із зображеннями: Фе, ImageMagick;
• Робота з бінарними файлами: wxHexEditor, VBinDiff;
• Аналіз дампів пам'яті: Волатильність, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Відкликати, linux_mem_diff_tool;
• Аналіз виконуваних PE-файлів UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, PEV, Peframe, педумп, Боккен, RATDecoders, Pyew, readpe.py, Екстрактор PyInstaller, DC3-MWCP;
• Аналіз шкідливого програмного забезпечення для мобільних пристроїв: Androwarn, AndroGuard.

Джерело: opennet.ru