REMnux — новый Linux-дистрибутив для анализа вредоносного ПО

10 июля 2010 года

Представлена (Архивная копия от 15 марта 2013 на Wayback Machine) первая версия специализированного Linux-дистрибутива REMnux, построенного на пакетной базе Ubuntu и предназначенного для изучения и обратного инжиниринга кода вредоносных программ. REMnux позволяет обеспечить в процессе анализа условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.

В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, оптимизированного для запуска внутри систем виртуализации, составляет 578 Мб.

Пользовательский интерфейс дистрибутива построен на базе Enlightenment. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект входят следующие инструменты:

• Анализ вредоносных Flash-роликов: swftools, flasm, flare;
• Анализ IRC-ботов: IRC-сервер Inspire IRCd) и IRC-клиент ( Irssi);
• Мониторинг сетевой активности: Wireshark, Honeyd, INetSim, fakedns, скрипты fakesmtp, NetCat;
• Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator (Архивная копия от 7 декабря 2017 на Wayback Machine), отладчик Rhino, две модифицированные версии SpiderMonkey, Windows Script Decoder (Архивная копия от 11 октября 2014 на Wayback Machine), Jsunpack-n;
• Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd и прокси Paros proxy
• Анализ shell-кода: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
• Разбор защищенных исполняемых файлов: upx, packerid (Архивная копия от 28 мая 2016 на Wayback Machine), bytehist, xorsearch, TRiD;
• Анализаторы PDF-файлов: Didier's PDF tools, Origami framework (Архивная копия от 14 мая 2016 на Wayback Machine), Jsunpack-n, pdftk;
• Исследование остаточного содержимого памяти: Volatility Framework (Архивная копия от 15 ноября 2013 на Wayback Machine);
• Дополнительные пакеты: unzip, strings, ssdeep, просмотрщик изображений feh (Архивная копия от 7 сентября 2014 на Wayback Machine), текстовый редактор SciTE, OpenSSH.