Несколько дней назад вышла новая версия дистрибутива Linux "REMnux 7.0" и происходит через пять лет после публикации последнего номера.
Это распределение Он предназначен для изучения и реинжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить изолированную лабораторную среду в котором можно имитировать работу конкретного атакованного сетевого сервиса для изучения поведения вредоносной программы в условиях, близких к реальным.
Еще одна область применения REMnux - изучение свойств вредоносных вставок на JavaScript-сайтах.
О REMnux
Дистрибутив основан на Ubuntu 18.04. и использует пользовательскую среду LXDE. Распространение включает достаточно полный набор инструментов для анализа вредоносных программ., утилиты для реверс-инжиниринга кода, программы для изучения PDF-файлов и офисных документов, измененных хакерами, а также инструменты для мониторинга активности системы.
Из инструментов этого дистрибутива мы можем найти следующее:
Анализ веб-сайта
В этот раздел входят следующие инструменты: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.
Анализ флеш-ролика
В этот раздел входят следующие инструменты: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.
Анализ Java
В этот раздел входят следующие инструменты: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.
Разбор JavaScript
В этот раздел входят следующие инструменты: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.
Анализ PDF
В этот раздел входят следующие инструменты: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.
Анализ документов Microsoft Office
officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, юникод.
Анализ шеллкода
sctest, unicode2hex-escaped, unicode2raw, DISM-this, shellcode2exe.
Обфусцированный код
unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Babbler, FLOSS.
Извлечение строковых данных
strdeobj, pestr, строки.
Восстановление файлов
Foremost, Скальпель, bulk_extractor, Hachoir.
Мониторинг сетевой активности
Wireshark, ngrep, TCPDump, tcpick.
Анализ дампа памяти
Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool.
Сканирование исполняемых файлов PE
UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, Pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.
Сетевые сервисы
FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, Accept-All-IPS.
Сетевые утилиты
prettyping.sh, set-static-ip, Renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.
Из других включенных инструментов
- Работа с коллекцией образцов вредоносных программ: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
- Определение подписи: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
- Сканирование: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
- Работа с хешами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
- Анализ вредоносного ПО в Linux: Sysdig и Unhide.
- Дизассемблеры: Vivisect, Udis86, objdump.
- Системы слежения: strace и ltrace.
- Изучите: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
- Работа с текстовыми данными: SciTE, Geany и Vim.
- Работа с изображениями: feh и ImageMagick.
- Работа с бинарными файлами: wxHexEditor и VBinDiff.
- Анализ вредоносного ПО для мобильных устройств: Androwarn и AndroGuard.
Что нового в РЕМнукс 7.0?
Из основных изменений, представленных в этой новой версии дистрибутива, одно из них: изменение на LTS-версию Ubuntu 18.04 вместе с которым раздача в этой поставке он был переработан с нуля и не был просто апгрейдом базы.
Кроме того, в новой версии все предлагаемые инструменты обновлены Таким образом, дистрибутив был значительно расширен (размер образа виртуальной машины увеличился вдвое).
Также обновлена документация по REMnux. чтобы предоставить пользователям более обширный и категоризированный список доступных инструментов, а также подробную информацию об их авторах, лицензии и домашней странице.
Выполнять
Те, кто заинтересован в возможности протестировать этот дистрибутив, могут получить образ системы на его официальном сайте.