Выпуск REMnux 7.0, дистрибутива для анализа вредоносного ПО
23 июля 2020 года
Спустя пять лет с момента публикации прошлого выпуска сформирован новый релиз специализированного Linux-дистрибутива REMnux 7.0, предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно эмулировать работу определённого атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript.
Дистрибутив построен на пакетной базе Ubuntu 18.04 и использует пользовательское окружение LXDE. В качестве web-браузера поставляется Firefox с дополнением NoScript. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, сформированного для запуска внутри систем виртуализации, составляет 5.2 Гб. В новом выпуске обновлены все предлагаемые инструменты, существенно расширен состав дистрибутива (размер образа виртуальной машины увеличился в два раза). Список предлагаемых утилит разбит на категории.
В комплект входят следующие инструменты (Архивная копия от 26 июля 2020 на Wayback Machine):
- Анализ web-сайтов: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
- Анализ вредоносных Flash-роликов: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare;
- Анализ Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
- Анализ JavaScript: Rhino Debugger (Архивная копия от 27 июля 2020 на Wayback Machine), ExtractScripts, SpiderMonkey (Архивная копия от 20 июля 2020 на Wayback Machine), V8, JS Beautifier;
- Анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah (Архивная копия от 27 июля 2020 на Wayback Machine), qpdf, pdfresurrect;
- Анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
- Анализ Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
- Приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard (Архивная копия от 21 июня 2020 на Wayback Machine), FLOSS
- Извлечение строковых данных: strdeobj, pestr, strings;
- Восстановление файлов: Foremost, Scalpel (Архивная копия от 29 августа 2019 на Wayback Machine), bulk_extractor (Архивная копия от 2 сентября 2019 на Wayback Machine), Hachoir (Архивная копия от 13 октября 2016 на Wayback Machine);
- Мониторинг сетевой активности: Wireshark, ngrep, TCPDump, tcpick;
- Сетевые сервисы: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips;
- Сетевые утилиты: prettyping.sh (Архивная копия от 27 июля 2020 на Wayback Machine), set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata;
- Работа с коллекцией примеров вредоносного ПО: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout;
- Определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
- Сканирование: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool;
- Работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash (Архивная копия от 27 июля 2020 на Wayback Machine), ssdeep, virustotal-search, VirusTotalApi;
- Анализ вредоносного ПО для Linux: Sysdig, Unhide
- Дизассемблеры: Vivisect (Архивная копия от 14 октября 2016 на Wayback Machine), Udis86, objdump;
- Отладчики: Evan’s Debugger (EDB), GNU Project Debugger (GDB);
- Системы трассировки: strace, ltraceInvestigate: Radare 2, Pyew, Bokken (Архивная копия от 1 августа 2015 на Wayback Machine), m2elf, ELF Parser (Архивная копия от 27 сентября 2020 на Wayback Machine);
- Работа с текстовыми данными: SciTE, Geany, Vim;
- Работа с изображениями: feh, ImageMagick;
- Работа с бинарными файлами: wxHexEditor, VBinDiff;
- Анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
- Анализ исполняемых PE-файлов UPX, Bytehist, Density Scout, PackerID (Архивная копия от 19 июля 2016 на Wayback Machine), objdump, Udis86, Vivisect (Архивная копия от 14 октября 2016 на Wayback Machine), Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken (Архивная копия от 1 августа 2015 на Wayback Machine), RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
- Анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.