Před pár dny byla vydána nová verze distribuce Linuxu „REMnux 7.0“ a který přichází po pěti letech od vydání posledního čísla.
Tato distribuce Je určen ke studiu a zpětné analýze kódu škodlivých programů. V procesu analýzy to REMnux umožňuje poskytnout izolované laboratorní prostředí ve kterém můžete napodobit provoz konkrétní napadené síťové služby a studovat chování malwaru v podmínkách blízkých té skutečné.
Další oblastí aplikace REMnux je studium vlastností škodlivých inzercí na webových stránkách JavaScriptu.
O společnosti REMnux
Distribuce je založena na Ubuntu 18.04 a používá uživatelské prostředí LXDE. Distribuce zahrnuje poměrně komplexní výběr nástrojů pro analýzu malwaru, nástroje pro kód reverzního inženýrství, programy pro studium PDF a hackerem upravených kancelářských dokumentů a nástroje pro sledování činnosti systému.
Z nástrojů, které tato distribuce má, můžeme najít následující:
Analýza webových stránek
Tato část obsahuje následující nástroje: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.
Flash analýza filmu
Tato část obsahuje následující nástroje: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.
Analýza Java
Tato část obsahuje následující nástroje: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.
Analýza JavaScriptu
Tato část obsahuje následující nástroje: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.
Analýza PDF
Tato část obsahuje následující nástroje: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.
Analýza dokumentů Microsoft Office
officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.
Analýza Shellcode
sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.
Zmatený kód
unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Babbler, FLOSS.
Extrakce dat řetězce
strdeobj, pestr, struny.
Obnova souboru
Především skalpel, bulk_extractor, Hachoir.
Monitorování síťové aktivity
Wireshark, ngrep, TCPDump, tcpick.
Analýza výpisu paměti
Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool.
Skenování spustitelných souborů PE
UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, Pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.
Síťové služby
FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.
Síťové nástroje
prettyping.sh, set-static-ip, obnovit-dhcp, Netcat, EPIC IRC klient, stunnel, Just-Metadata.
Mezi další nástroje patří
- Práce se sbírkou vzorků malwaru: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
- Definice podpisu: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
- Skenování: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
- Práce s hashe: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
- Analýza malwaru pro Linux: Sysdig a Unhide.
- Demontážníci: Vivisect, Udis86, objdump.
- Sledovací systémy: strace a ltrace.
- Vyšetřovat: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
- Práce s textovými daty: SciTE, Geany a Vim.
- Práce s obrázky: feh a ImageMagick.
- Práce s binárními soubory: wxHexEditor a VBinDiff.
- Analýza malwaru pro mobilní zařízení: Androwarn a AndroGuard.
Co je nového v REMnux 7.0?
Jednou z hlavních změn, které jsou v této nové verzi distribuce představeny, je změna na LTS verzi Ubuntu 18.04 společně s tím distribuce v této dodávce byl přepracován od základu a nebyl to jen základní upgrade.
Kromě toho v nové verzi všechny nabízené nástroje byly aktualizovány distribuční balíček se tak výrazně rozšířil (velikost obrazu virtuálního stroje se zdvojnásobila).
Byla také aktualizována dokumentace REMnux poskytnout uživatelům rozsáhlejší a kategorizovanější seznam dostupných nástrojů spolu s podrobnostmi o jejich autorech, licenci a domovské stránce.
Plnění
Zájemci o možnost otestovat tuto distribuci mohou získat obraz systému na svých oficiálních webových stránkách.