REMnux è una distribuzione basata su Ubuntu open source di Linux, specificamente progettato per gli analisti di malware che sono alla ricerca di un sistema operativo alternativa gratuita a Microsoft Windows, in modo per loro di reverse-engineering software dannoso.
Caratteristiche principali
Le caratteristiche principali includono la capacità di esaminare browser Web di malware, la gestione delle interazioni di rete, decodifica e estratto di manufatti, esaminare i file di documenti, analizzare il malware Linux, staticamente esaminare i file PE, esaminare le proprietà e il contenuto dei file, dei processi più campioni, esaminare le istantanee di memoria , nonché di modificare e visualizzare una vasta gamma di file.
Distribuito come un DVD live e un archivio appliance virtuale
Il sistema operativo può essere scaricata come una singola immagine Live ISO DVD che supporta entrambe le piattaforme hardware a 32-bit e 64-bit e deve essere scritto su dischi DVD o unità flash USB di 2 GB o maggiore capacità, al fine di fare il boot da il BIOS di un PC, e un archivio appliance virtuale (OVA) per il software di virtualizzazione VirtualBox e VMware.
È dotato di un boot loader standard che può essere trovato su una vasta gamma di distribuzioni Linux basate su Ubuntu, che permette all'utente di avviare l'ambiente dal vivo con le opzioni predefinite o in modalità grafica sicura forzando il framebuffer VESA, eseguire una memoria di sistema (RAM) di prova, e avviare il sistema operativo esistente dal primo disco.
Minimal, veloce e produttivo ambiente desktop powered by LXDE
Per impostazione predefinita, il Live CD è progettato per aprire un emulatore di terminale dal get-go. Esso utilizza il X11 ambiente desktop leggero (LXDE) con un artwork scuro e un singolo pannello situato sul bordo inferiore dello schermo, da cui l'utente può accedere alle applicazioni o interagire con programmi in esecuzione.
Tra le applicazioni preinstallate, si possono citare SciTE editor di testo, wxHexEditor editor esadecimale, scanner di rete Wireshark, XMind strumento di mappatura mente, browser dei database SQLite, browser web Mozilla Firefox, e lettore musicale LXMusic.
Linea di fondo
In sintesi, REMnux non è sicuramente una distribuzione Linux per l'utente normale. Si basa su un vecchio, versione non supportata di Ubuntu (11.10 - Oneiric Ocelot)., Ma offre una raccolta ordinata di altre caratteristiche utili che aiuteranno gli analisti di malware di decodificare il software dannoso
Ciò che è nuovo in questa versione:
- Sono entusiasta di annunciare il rilascio v6 della distro REMnux, che aiuta gli analisti esaminano il malware utilizzando utility gratuita in un ambiente Linux. REMnux v6 aggiorna gli strumenti che erano presenti nelle precedenti versioni della distro e introduce diverse nuove. Inoltre, implementa grandi cambiamenti architettonici dietro le quinte per consentire agli utenti di applicare facilmente REMnux aggiornamenti futuri senza dover scaricare l'intero ambiente REMnux da zero.
- Ottieni REMnux v6:
- Il modo più semplice per ottenere l'ultima distribuzione REMnux è quello di scaricare il relativo file appliance OVA virtuale, poi importarlo nel applicazione di virtualizzazione preferito, come VMware Workstation e VirtualBox. Dopo aver avviato la macchina virtuale importata, eseguire il & quot; update-remnux pieno & quot; comando per aggiornare il proprio software. Per istruzioni dettagliate, consultare le istruzioni di installazione REMnux.
- In alternativa, è possibile aggiungere la distro REMnux ad un sistema fisico o virtuale esistente che è in esecuzione una versione compatibile di Ubuntu, tra cui SIFT Workstation. È possibile ottenere questo risultato eseguendo lo script di installazione REMnux come spiegato nella documentazione.
- Dopo aver installato REMnux v6, sarete in grado di ottenere gli aggiornamenti eseguendo il & quot; update-remnux & quot; comando. Seguire REMnux account su Twitter, Facebook e Google Plus per ricevere le notifiche quando i suoi pacchetti di analisi del malware vengono aggiornate o quando ne vengono aggiunti al toolkit.
- Strumenti Aggiunto ai REMnux v6:
- REMnux v6 comprende i seguenti strumenti che non sono stati una parte della distribuzione nelle versioni precedenti.
- pedump, readpe.py: staticamente esaminare le proprietà di un file di Windows PE
- VirusTotal-tools: interagire con il database VirusTotal dalla riga di comando
- Nginx: Web server, che sostituisce HTTPD piccolo che era presente sul REMnux precedente
- VolDiff: Confronto forensi memoria immagini per individuare modifiche utilizzando Volatilità
- Editor regola: Modifica del CIO Yara, Snort e regole OpenIOC, sostituendo il suo precursore Yara Editor
- Rekall: forensics memoria strumento e quadro
- m2elf: Crea un file binario ELF di shellcode
- Regole Yara: firme per individuare le caratteristiche malevoli nei file
- OfficeDissector MASTINO plugin: Esaminare i file basati su XML di Microsoft Office utilizzando MASTINO
- Docker: Eseguire applicazioni come contenitori isolati sul sull'host locale
- AndroGuard: Analizzare applicazioni sospette Android
- vtTool: Determinare il malware cognome del campione interrogando VirusTotal
- oletools, libolecf: Analizzare i file di Microsoft Office OLE2
- tcpflow: esaminare il traffico di rete e scolpire i file di acquisizione PCAP
- passive.py: eseguire ricerche DNS passivi utilizzando la libreria pdns
- CapTipper: Esaminare il traffico di rete e intagliare i file di acquisizione PCAP
- oledump: Esaminare sospetti file di Microsoft Office
- CFR: Decompilare file di classe Java sospetti
- update-remnux: Aggiornare la distro, aggiornare il suo software e l'installazione di strumenti di appena aggiunti
- REMnux v6 comprende anche le seguenti librerie che gli sviluppatori di software possono utilizzare per la creazione di nuovi strumenti di analisi del malware e dei compiti.
- CIO Writer: libreria Python per la creazione e la modifica di oggetti OpenIOC
- Cybox: libreria Python per l'analisi, la manipolazione e la generazione di contenuto CybOX
- diStorm3, Capstone: librerie Python per smontare i file binari
- pylibemu: libreria Python per l'accesso a funzionalità di emulazione shellcode libemu
- Yara Library: libreria Python di identificare e classificare campioni di malware
- olefile: libreria Python per leggere / scrivere i file di Microsoft Office OLE2
- PyV8: libreria wrapper Python per il motore JavaScript V8
- pyssdeep: libreria wrapper Python per lo strumento di hashing sfocata ssdeep
- pyexiftool: libreria wrapper Python per la ExifTool
- OfficeDissector: libreria Python per i file sospetti basati su XML di Microsoft Office
- pdns: libreria Python per eseguire ricerche DNS passivi
- Javassist: libreria Java che assiste con l'esame di bytecode Java
- Per un elenco delle utilità di analisi del malware disponibili su REMnux, consultare il sito della documentazione, che comprende un foglio di calcolo e una mappa mentale degli strumenti e offre alcuni suggerimenti per l'uso.
- Aggiornamento REMnux Architettura:
- Un importante obiettivo del rilascio v6 di REMnux, al di là di potenziamento e espandere il set di strumenti, è quello di modernizzare fondazione della distro, pur mantenendo l'aspetto familiare grafico. Persone che hanno familiarità con le versioni precedenti REMnux dovrebbero essere in grado di utilizzare l'ambiente senza dover regolare le loro abitudini. Ancora più importante, gli utenti REMnux v6 possono ricevere futuri aggiornamenti per la distro con il & quot; update-remnux & quot; script senza dover scaricare una nuova macchina virtuale per eseguire gli aggiornamenti.
- Per raggiungere questi obiettivi, REMnux v6 è basata su Ubuntu 14.04 a 64 bit. Si tratta di un sistema operativo popolare e stabile che sarà in giro per un po ', perché è una Long Term Support (LTS) di rilascio. Inoltre, REMnux ora si basa molto sui pacchetti Debian ospitati nel suo repository per facilitare gli aggiornamenti convenienti.
- Come il risultato, REMnux può essere installato su qualsiasi sistema nuovo o già esistente con Ubuntu 14.04 a 64 bit, indipendentemente dal fatto che si tratta di una macchina fisica o virtuale. Questa versione è stata progettata per essere compatibile con SIFT workstation, in modo che le persone possano installare entrambi distribuzioni sullo stesso sistema, se lo desiderano.
Cosa c'è di nuovo nella versione 5.0:
- aggiornamenti chiave per strumenti esistenti e componenti:
- Sistema Core: aggiornato i sottostanti componenti e pacchetti del sistema operativo Ubuntu; aumento della RAM di default del dispositivo virtuale a 512 MB; OpenJDK sostituito con Oracle Java 7 runtime.
- Analisi Memoria:. volatilità aggiornato alla versione 2.2
- PDF analisi: aggiornato pdfid e pdf-parser, Origami, peepdf
- analisi Web: Aggiornato SWFTools, V8, libemu, NetworkMiner, Burp Proxy, Wireshark, Firefox e le sue componenti aggiuntivi .
- Altre modifiche: xorsearch aggiornamento, DensityScout, Pyew, passivo-dns, ClamAV, capabilities.yara; FreeMind sostituito con XMind
- I nuovi strumenti aggiunti al REMnux:
- strumenti di Windows: Vino installata; aggiunto OfficeMalScanner, Malzilla
- Analisi XOR: Aggiunto NoMoreXOR, brutexor, XORBruteForcer
- Analisi file PE: Aggiunto PEV, dism-questo, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
- Altre analisi di file: Aggiunto extract_swf.py, ExifTool, MASTINO
- Altre aggiunte: Aggiunto Hack-funzioni (/ usr / / hackerare-funzioni locali), bulk_extractor, ProcDot
Cosa c'è di nuovo nella versione 3.0:
- REMnux è stata ricostruita per essere basata su Ubuntu 11.10 per migliorare la manutenibilità , pur mantenendo la compatibilità ove possibile.
- è stato migrato L'ambiente desktop su REMnux utilizzare LXDE per una migliore usabilità, pur mantenendo la leggerezza della distribuzione.
- Gli strumenti di analisi del malware disponibili nella versione precedente di REMnux sono stati aggiornati alle ultime versioni stabili per fornire le ultime novità. Gli aggiornamenti più significativi sono:
- Volatilità Framework 2.0 per la dialettica di memoria con i più recenti moduli di malware e Timeliner
- Origami Framework 1.2.3 per l'analisi PDF, tra cui pdfcop, pdfextract, pdfwalker, pdfsh, ecc.
- REMnux include diversi strumenti di analisi del malware che non erano presenti nelle versioni precedenti di distribuzione, tra cui:
- Analisi di rete: NetworkMiner, ngrep, pdnstool
- Analisi PDF: PDF raggi X Lite (pdfxray_lite e swf_mastah), peepdf
- Analisi JavaScript: motore JavaScript di Chrome (D8), js-abbellire
- Esame file: Hachoir (hachoir-file secondario, hachoir-metadati, hachoir-urwid), pyew, densityscout, findaes
- Altro: JD-GUI, xxxswf.py, FreeMind, xpdf, xortool
I commenti non trovato