REMnux es una distribución basada en Ubuntu código abierto de Linux diseñado específicamente para los analistas de malware que buscan un sistema operativo alternativa libre a Microsoft Windows, a fin de que a la ingeniería inversa de software malicioso.
Características de un vistazo
Las características clave incluyen la capacidad de examinar el malware navegador web, la gestión de las interacciones de red, decodificar y extraer los artefactos, examine los archivos de documentos, investigar Linux malware, examinar estáticamente archivos PE, examinar las propiedades y el contenido de archivos, procesos múltiples muestras, examinar las instantáneas de memoria , así como para editar y ver una amplia gama de archivos.
Distribuido como un DVD en vivo y archivo dispositivo virtual
El sistema operativo se puede descargar como una sola imagen en vivo ISO de DVD que soporta ambas plataformas de hardware de 32 bits y de 64 bits y debe ser escrito en discos DVD o unidades flash USB de 2 GB o mayor capacidad para poder arrancar desde el BIOS de un PC, así como un archivo de dispositivo virtual (OVA) para el software de virtualización VirtualBox y VMware.
Cuenta con un gestor de arranque estándar que se pueden encontrar en una amplia gama de distribuciones Linux basadas en Ubuntu, que permite al usuario iniciar el entorno real con las opciones predeterminadas o en modo gráfico seguro forzando el framebuffer VESA, realizar una memoria de sistema prueba (RAM) y arrancar un sistema operativo existente desde el primer disco.
Minimal, rápido y productivo entorno de escritorio impulsado por LXDE
De forma predeterminada, el Live CD está diseñado para abrir un emulador de terminal desde el primer momento. Utiliza el Lightweight X11 Desktop Environment (LXDE) con una obra oscura y un único panel situado en el borde inferior de la pantalla, desde donde el usuario puede acceder a las aplicaciones o interactuar con programas en ejecución.
Entre las aplicaciones preinstaladas, podemos mencionar editor SciTE texto, editor hexadecimal wxHexEditor, escáner de red Wireshark, XMind herramienta de mapas mentales, el navegador de base de datos SQLite, navegador web Mozilla Firefox, y reproductor de música LXMusic.
En pocas palabras
En resumen, REMnux definitivamente no es una distribución de Linux para el usuario normal. Se basa en una versión sin soporte anterior de Ubuntu (11.10 - Ocelot onírico)., Pero ofrece una colección ordenada de otras características útiles que le ayudarán analistas de malware para revertir-ingeniero de software malicioso
¿Qué hay de nuevo en esta versión:
- Estoy emocionado de anunciar el lanzamiento v6 de la distro REMnux, que ayuda a los analistas examinan malware utilizando utilidades gratuitas en un entorno Linux. REMnux v6 actualiza las herramientas que estaban presentes en las revisiones anteriores de la distro e introduce varias nuevas. Además, se implementa grandes cambios arquitectónicos detrás de las escenas para que los usuarios REMnux aplicar fácilmente actualizaciones futuras sin tener que descargar el entorno lleno REMnux desde cero.
- Obtener REMnux v6:
- La forma más sencilla de conseguir la última distribución REMnux es descargar su archivo aparato OVA virtual, a continuación, importarlo en su aplicación favorita de virtualización como VMware Workstation y VirtualBox. Después de iniciar la máquina virtual importada, ejecute el & quot;-actualización remnux completa & quot; comando para actualizar su software. Para obtener instrucciones detalladas, consulte las instrucciones de instalación REMnux.
- Como alternativa, puede agregar la distro REMnux a un sistema físico o virtual existente que se está ejecutando una versión compatible de Ubuntu, incluyendo SIFT Workstation. Usted puede lograr esto mediante la ejecución del script de instalación REMnux como se explica en la documentación.
- Después de instalar REMnux v6, podrás obtener actualizaciones ejecutando el & quot; update-remnux & quot; comandos. Siga REMnux cuentas en Twitter, Facebook y Google Plus para recibir notificaciones cuando sus paquetes de análisis de malware se actualizan o cuando se añaden otras nuevas para el kit de herramientas.
- Herramientas Added to REMnux v6:
- v6 REMnux incluye las siguientes herramientas que no han sido parte de la distribución de las versiones anteriores.
- pedump, readpe.py: examinar estáticamente propiedades de un archivo Windows PE
- VirusTotal-herramientas: Interactuar con la base de datos de VirusTotal desde la línea de comandos
- Nginx: servidor web, que sustituye HTTPD Tiny que estaba presente en REMnux anterior
- VolDiff: Comparar forenses memoria imágenes de detectar cambios usando Volatilidad
- Regla Editor: Editar COI Yara, Snort y reglas OpenIOC, en sustitución de su precursor Yara Editor
- Rekall: herramienta de análisis forense de la memoria y el marco
- m2elf: Crear un archivo binario ELF de código shell
- Reglas Yara: Firmas para detectar características maliciosas en los archivos
- OfficeDissector MASTÍN plugins: Examine los archivos basados en XML de Microsoft Office utilizando MASTÍN
- Docker: Ejecutar aplicaciones como contenedores aislados en el host local
- AndroGuard: Analizar aplicaciones Android sospechosas
- vtTool: Determinar nombre de la familia de malware de la muestra mediante la consulta de VirusTotal
- oletools, libolecf: Analizar los archivos de Microsoft Office OLE2
- flujo TCP: Examine el tráfico de red y tallar archivos de captura PCAP
- passive.py: Realizar búsquedas de DNS pasivos utilizando la biblioteca PDNS
- CapTipper: Examinar el tráfico de red y tallar archivos de captura PCAP
- oledump: Examine los archivos de Microsoft Office sospechosas
- CFR: Descompilar archivos de clase Java sospechosas
- update-remnux: Actualización de la distro, actualizar su software y la instalación de herramientas de agregados recientemente
- REMnux v6 también incluye las siguientes bibliotecas, que los desarrolladores de software pueden usar para la construcción de nuevas herramientas de análisis de malware y tareas.
- Writer COI: biblioteca de Python para la creación y edición de objetos OpenIOC
- Cybox: biblioteca de Python para analizar, manipular y generar contenido CybOX
- diStorm3, Capstone: bibliotecas de Python para desmontar archivos binarios
- pylibemu: biblioteca de Python para acceder a la funcionalidad de emulación de código shell libemu
- Yara Biblioteca: Biblioteca de Python para identificar y clasificar muestras de malware
- olefile: biblioteca de Python para leer / escribir archivos de Microsoft Office OLE2
- PyV8: Python biblioteca de envoltorio para el motor V8 JavaScript
- pyssdeep: Python biblioteca de envoltorio para la herramienta hash difusa ssdeep
- pyexiftool: Python biblioteca de contenedor para el ExifTool
- OfficeDissector: Python biblioteca para archivos basados en XML sospechosas de Microsoft Office
- PDNS: biblioteca de Python para realizar búsquedas DNS pasivos
- Javassist: biblioteca de Java que ayuda con el examen de código de bytes de Java
- Para obtener una lista de los servicios públicos de malware de análisis disponibles en REMnux, consulte su sitio de documentación, que incluye una hoja de cálculo y un mapa mental de las herramientas y ofrece algunos consejos de uso.
- Actualizado REMnux Arquitectura:
- Una meta importante de la liberación v6 de REMnux, más allá de mejorar y ampliar el conjunto de herramientas, es modernizar la fundación de la distro, conservando el aspecto familiar. Las personas familiarizadas con los comunicados de REMnux anteriores deben ser capaces de utilizar el medio ambiente sin tener que ajustar sus hábitos. Lo más importante, los usuarios REMnux v6 pueden recibir actualizaciones futuras de la distro con el & quot; update-remnux & quot; guión sin tener descargar una nueva máquina virtual entera para llevar a cabo mejoras.
- Para lograr estos objetivos, REMnux v6 se basa en Ubuntu 14.04 de 64 bits. Es un sistema operativo popular y estable que será por un tiempo, porque es un comunicado de apoyo a largo plazo (LTS). También, REMnux ahora se basa principalmente en los paquetes de Debian alojados en su repositorio para facilitar cambios convenientes.
- Como resultado, REMnux se puede instalar en cualquier sistema nuevo o existente con Ubuntu 14.04 de 64 bits, sin importar si se trata de una máquina física o virtual. Esta versión está diseñada para ser compatible con SIFT estación de trabajo, por lo que la gente puede instalar ambas distribuciones en el mismo sistema, si así lo desean.
¿Qué hay de nuevo en la versión 5.0:
- Las actualizaciones clave a herramientas y componentes existentes:
- Sistema Core: Mejorado los componentes del sistema operativo Ubuntu subyacentes y paquetes; aumento de memoria RAM por defecto de la aplicación virtual a 512; reemplazado OpenJDK con Oracle Java 7 tiempo de ejecución.
- Análisis de la memoria:. Actualizado volatilidad a la versión 2.2
- PDF análisis: Actualizado pdfid y pdf-parser, Origami, peepdf
- Análisis Web: Actualizado SWFTools, V8, libemu, NetworkMiner, Burp Proxy, Wireshark, Firefox y sus complementos .
- Otros cambios: Actualizado xorsearch, DensityScout, Pyew, pasivo-dns, ClamAV, capabilities.yara; reemplazado FreeMind con XMind
- Las nuevas herramientas añadidas a REMnux:
- Herramientas de Windows: Vino instalada; añadida OfficeMalScanner, Malzilla
- Análisis XOR: Agregado NoMoreXOR, brutexor, XORBruteForcer
- Análisis archivo PE: pev Añadido, dism-este, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
- Otros análisis del archivo: extract_swf.py Añadido, ExifTool, MASTÍN
- Otras adiciones: Añadido Hack-funciones (/ usr / / Hack-funciones locales), bulk_extractor, ProcDot
¿Qué hay de nuevo en la versión 3.0:
- REMnux fue reconstruido para ser basada en Ubuntu 11.10 para mejorar la mantenibilidad , mientras se mantiene la compatibilidad hacia atrás siempre que sea práctico.
- El entorno de escritorio en REMnux se ha migrado a utilizar LXDE para mejorar la facilidad de uso, mientras que el mantenimiento de la naturaleza ligera de la distribución.
- Las herramientas de análisis de malware disponibles en la versión anterior de REMnux se han actualizado a las últimas versiones estables para proporcionar las últimas características y mejoras. Los cambios más significativos son:
- Marco Volatilidad 2.0 para el análisis forense de memoria con los últimos módulos de malware y TimeLiner
- Origami Framework 1.2.3 para el análisis PDF, incluyendo pdfcop, pdfextract, pdfwalker, pdfsh, etc.
- REMnux incluye varias herramientas de análisis de malware que no estaban presentes en versiones anteriores de la distribución, incluyendo:
- El análisis de redes: NetworkMiner, ngrep, pdnstool
- Análisis PDF: PDF X-Ray Lite (pdfxray_lite y swf_mastah), peepdf
- Análisis de JavaScript: motor de Chrome JavaScript (d8), js-embellecer
- Examinar archivos: Hachoir (hachoir-subfichero, hachoir-metadatos, hachoir-urwid), Pyew, densityscout, findaes
- Varios: jd-gui, xxxswf.py, FreeMind, xpdf, xortool
Comentarios que no se encuentran