Выпуск REMnux 7.0, дистрибутива для анализа вредоносного ПО 23.07.2020 22:30

Спустя пять лет с момента публикации прошлого выпуска сформирован новый релиз специализированного Linux-дистрибутива REMnux 7.0, предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно эмулировать работу определённого атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript.

Дистрибутив построен на пакетной базе Ubuntu 18.04 и использует пользовательское окружение LXDE. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, сформированного для запуска внутри систем виртуализации, составляет 5.2 Гб. В новом выпуске обновлены все предлагаемые инструменты, существенно расширен состав дистрибутива (размер образа виртуальной машины увеличился в два раза). Список предлагаемых утилит разбит на категории.

В комплект входят следующие инструменты:

Анализ web-сайтов: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
Анализ вредоносных Flash-роликов: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare;
Анализ Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
Анализ JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;
Анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect;
Анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
Анализ Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
Приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS
Извлечение строковых данных: strdeobj, pestr, strings;
Восстановление файлов: Foremost, Scalpel, bulk_extractor, Hachoir;
Мониторинг сетевой активности: Wireshark, ngrep, TCPDump, tcpick;
Сетевые сервисы: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips;
Сетевые утилиты: prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata;
Работа с коллекцией примеров вредоносного ПО: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout;
Определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
Сканирование: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool;
Работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
Анализ вредоносного ПО для Linux: Sysdig, Unhide
Дизассемблеры: Vivisect, Udis86, objdump;
Отладчики: Evan«s Debugger (EDB), GNU Project Debugger (GDB);
Системы трассировки: strace, ltrace
Investigate: Radare 2, Pyew, Bokken, m2elf, ELF Parser;
Работа с текстовыми данными: SciTE, Geany, Vim;
Работа с изображениями: feh, ImageMagick;
Работа с бинарными файлами: wxHexEditor, VBinDiff;
Анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
Анализ исполняемых PE-файлов UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
Анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.

Источник: http://www.opennet.ru/opennews/art.shtml? num=53419