Выпуск REMnux 7.0, дистрибутива для анализа вредоносного ПО

23 июля 2020 года

Спустя пять лет с момента публикации прошлого выпуска сформирован новый релиз специализированного Linux-дистрибутива REMnux 7.0, предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно эмулировать работу определённого атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript.

Дистрибутив построен на пакетной базе Ubuntu 18.04 и использует пользовательское окружение LXDE. В качестве web-браузера поставляется Firefox с дополнением NoScript. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, сформированного для запуска внутри систем виртуализации, составляет 5.2 Гб. В новом выпуске обновлены все предлагаемые инструменты, существенно расширен состав дистрибутива (размер образа виртуальной машины увеличился в два раза). Список предлагаемых утилит разбит на категории.

В комплект входят следующие инструменты (Архивная копия от 26 июля 2020 на Wayback Machine):

• Анализ web-сайтов: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
• Анализ вредоносных Flash-роликов: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare;
• Анализ Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
• Анализ JavaScript: Rhino Debugger (Архивная копия от 27 июля 2020 на Wayback Machine), ExtractScripts, SpiderMonkey (Архивная копия от 20 июля 2020 на Wayback Machine), V8, JS Beautifier;
• Анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah (Архивная копия от 27 июля 2020 на Wayback Machine), qpdf, pdfresurrect;
• Анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
• Анализ Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
• Приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard (Архивная копия от 21 июня 2020 на Wayback Machine), FLOSS
• Извлечение строковых данных: strdeobj, pestr, strings;
• Восстановление файлов: Foremost, Scalpel (Архивная копия от 29 августа 2019 на Wayback Machine), bulk_extractor (Архивная копия от 2 сентября 2019 на Wayback Machine), Hachoir (Архивная копия от 13 октября 2016 на Wayback Machine);
• Мониторинг сетевой активности: Wireshark, ngrep, TCPDump, tcpick;
• Сетевые сервисы: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips;
• Сетевые утилиты: prettyping.sh (Архивная копия от 27 июля 2020 на Wayback Machine), set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata;
• Работа с коллекцией примеров вредоносного ПО: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout;
• Определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
• Сканирование: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool;
• Работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash (Архивная копия от 27 июля 2020 на Wayback Machine), ssdeep, virustotal-search, VirusTotalApi;
• Анализ вредоносного ПО для Linux: Sysdig, Unhide
• Дизассемблеры: Vivisect (Архивная копия от 14 октября 2016 на Wayback Machine), Udis86, objdump;
• Отладчики: Evan’s Debugger (EDB), GNU Project Debugger (GDB);
• Системы трассировки: strace, ltraceInvestigate: Radare 2, Pyew, Bokken (Архивная копия от 1 августа 2015 на Wayback Machine), m2elf, ELF Parser;
• Работа с текстовыми данными: SciTE, Geany, Vim;
• Работа с изображениями: feh, ImageMagick;
• Работа с бинарными файлами: wxHexEditor, VBinDiff;
• Анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
• Анализ исполняемых PE-файлов UPX, Bytehist, Density Scout, PackerID (Архивная копия от 19 июля 2016 на Wayback Machine), objdump, Udis86, Vivisect (Архивная копия от 14 октября 2016 на Wayback Machine), Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken (Архивная копия от 1 августа 2015 на Wayback Machine), RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
• Анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.