Fa pocs dies va ser alliberada la nova versió de la distribució de Linux "REMnux 7.0" i la qual arriba després de cinc anys després de la publicació de l'últim número.
aquesta distribució està dissenyada per a estudiar i realitzar enginyeria inversa de el codi dels programes maliciosos. En el procés d'anàlisi, REMnux permet proporcionar un entorn de laboratori aïllat en el qual pot emular el funcionament d'un servei de xarxa atacat específic per estudiar el comportament de l'malware en condicions properes a les reals.
Una altra àrea d'aplicació per REMnux és estudiar les propietats de les insercions malicioses en els llocs web de JavaScript.
sobre REMnux
La distribució es basa en Ubuntu 18.04 i utilitza l'entorn d'usuari LXDE. la distribució inclou una selecció bastant completa d'eines per analitzar malware, Utilitats per a codi d'enginyeria inversa, programes per estudiar PDF i documents d'oficina modificats per hackers i eines per monitoritzar l'activitat de el sistema.
De les eines amb què compta aquesta distribució, podrem trobar les següents:
Anàlisi de la pàgina web
En aquesta secció s'inclouen les següents eines: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.
Anàlisi de pel·lícules Flash
En aquesta secció s'inclouen les següents eines: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.
anàlisi Java
En aquesta secció s'inclouen les següents eines: Java Cache IDX Parser, JD-GUI Java Decompile, JAD Java Decompile, Javassist, CFR.
Anàlisi de JavaScript
En aquesta secció s'inclouen les següents eines: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.
anàlisi PDF
En aquesta secció s'inclouen les següents eines: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.
Anàlisi de documents de Microsoft Office
officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.
Anàlisi de shellcode
sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.
codi ofuscat
unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS.
Extracció de dades de cadena
strdeobj, pestr, strings.
Recuperació d'arxius
Foremost, Scalpel, bulk_extractor, Hachoir.
Monitorització de l'activitat de la xarxa
Wireshark, ngrep, TCPDump, tcpick.
Anàlisi de bolcats de
Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool.
Anàlisi d'arxius PE executables
UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, PEV, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.
Serveis de xarxa
FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.
Utilitats de xarxa
prettyping.sh, set-static-ip, Renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.
De les altres eines que s'inclouen
- Treballant amb una col·lecció d'exemples de codi maliciós: Maltrieve, Ragpicker, Viper, Mastiff, Density Scout.
- Definició de signatures: YaraGenerator, IOCextractor, Autorule, Rule Editor, IOC-parser.
- Escaneig: Yara, ClamAV, trid, ExifTool, VirusTotal-submit, Disitool.
- Treballant amb hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, VirusTotal-search, VirusTotalApi.
- Anàlisi de malware de Linux: Sysdig i Unhide.
- Desassembladors: Vivisect, Udis86, objdump.
- Sistemes de rastreig: strace i ltrace.
- Investigar: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
- Treballant amb dades de text: SciTE, Geany yVim.
- Treballant amb imatges: FEH i ImageMagick.
- Treballant amb arxius binaris: wxHexEditor i VBinDiff.
- Anàlisi de malware per a dispositius mòbils: Androwarn i AndroGuard.
Què hi ha de nou en REMnux 7.0?
Dels principals canvis que es presenten en aquesta nova versió de la distribució un d'ells és el canvi a la versió LTS d'Ubuntu 18.04 juntament amb la qual cosa la distribució en aquest lliurament va ser redissenyada des de zero i no simplement va ser un upgrade de la base.
A més de que en la nova versió, totes les eines ofertes s'han actualitzat amb la qual cosa el paquet de distribució s'ha ampliat significativament (la mida de la imatge de la màquina virtual s'ha duplicat).
També la documentació de REMnux s'ha actualitzat per proporcionar als usuaris una llista més extensa i categoritzada de les eines disponibles, juntament amb detalls sobre els seus autors, llicència i pàgina d'inici.
Descàrrega
Per als que estiguin interessats en poder provar aquesta distribució, poden obtenir la imatge de sistema des del seu lloc web oficial.