Доступен (https://zeltser.com/remnux-v6-release-for-malware-analysis/) новый выпуск специализированного Linux-дистрибутива REMnux (https://remnux.org/), построенного на пакетной базе Ubuntu и предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.
Пользовательский интерфейс дистрибутива построен на базе LXDE. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа (http://sourceforge.net/projects/remnux/files/version6/) REMnux, сформированного для запуска (https://remnux.org/docs/distro/get/#download-the-remnux-virt...) внутри систем виртуализации, составляет 2.1 Гб.
В комплект входят следующие инструменты (https://remnux.org/docs/distro/tools/):
- Анализ вредоносных Flash-роликов: swftools (http://www.swftools.org/), flasm (http://www.nowrap.de/flasm.html), flare (http://www.nowrap.de/flare.html);
- Анализ IRC-ботов: IRC-сервер Inspire IRCd (http://www.inspircd.org/)) и IRC-клиент (Irssi (http://www.irssi.org/));
- Мониторинг сетевой активности: Wireshark (http://www.wireshark.org/), Honeyd (http://www.honeyd.org/), INetSim (http://www.inetsim.org/), fakedns (http://code.activestate.com/recipes/491264-mini-fake-dns-server/), скрипты fakesmtp, NetCat;
- Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator (https://addons.mozilla.org/en-US/firefox/addon/10345/), отладчик Rhino (http://www.mozilla.org/rhino/debugger.html), две модифицированные версии SpiderMonkey (http://www.mozilla.org/js/spidermonkey/), Windows Script Decoder (http://www.virtualconspiracy.com/index.php?page=scrdec/intro), Jsunpack-n (http://jsunpack.blogspot.com/2009/06/very-cool-javascript-de...);
- Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd (http://tinyhttpd.sourceforge.net/) и прокси Paros proxy (http://www.parosproxy.org/)
- Анализ shell-кода: gdb (http://www.gnu.org/software/gdb/), objdump (http://en.wikipedia.org/wiki/Objdump), Radare (http://radare.nopcode.org/) (hex editor+disassembler), shellcode2exe (http://zeltser.com/reverse-malware/convert-shellcode.html)
- Разбор защищенных исполняемых файлов: upx (http://www.upx.org/), packerid (http://handlers.dshield.org/jclausing/packerid.py), bytehist (http://www.cert.at/downloads/software/bytehist_en.html), xorsearch (http://blog.didierstevens.com/programs/xorsearch/), TRiD (http://mark0.net/soft-trid-e.html);
- Анализаторы PDF-файлов (http://zeltser.com/reverse-malware/analyzing-malicious-docum...): Didier's PDF tools (http://blog.didierstevens.com/programs/pdf-tools/), Origami framework (http://seclabs.org/origami/), Jsunpack-n (http://jsunpack.blogspot.com/2009/06/very-cool-javascript-de...), pdftk (http://www.accesspdf.com/pdftk/);
- Исследование остаточного содержимого памяти: Volatility Framework (https://www.volatilesystems.com/default/volatility);
Новый выпуск примечателен переработкой архитектуры дистрибутива, добавлением утилиты update-remnux для обновления состава виртуального окружения, поставкой новых версий программ. В состав включена большая порция новых приложений и библиотек, полезных для анализа вредоносного ПО, в том числе средства для статического анализа исполняемых файлов Windows PE (pype (https://github.com/crackinglandia/pype32)), офисных файлов (OfficeDissector (https://github.com/grierforensics/officedissector/tree/maste...)) и OLE2 (oletool (https://github.com/libyal/libolecf), oledump (http://blog.didierstevens.com/programs/oledump-py/)), сравнения дампов памяти (VolDiff (https://github.com/aim4r/VolDiff)), анализа содержимого памяти (rekall (http://www.rekall-forensic.com/)), изучения трафика (tcpflow (https://github.com/simsong/tcpflow)), проверки Android-приложений (androguard (https://github.com/androguard/androguard)), декомпиляции Java-файлов (cfr (http://www.benf.org/other/cfr/)).
Добавлена возможность использования контейнеров Docker для дополнительной изоляции инструментов анализа вредоносного ПО. Для пользователей Ubuntu 14.04 подготовлен репозиторий пакетов (https://launchpad.net/~remnux/+archive/ubuntu/stable/+packages), из которого можно установить все специфичные для REMnux инструменты и утилиты, которые отсутствуют в штатных репозиториях Ubuntu.
URL: https://zeltser.com/remnux-v6-release-for-malware-analysis/
Новость: https://www.opennet.ru/opennews/art.shtml?num=42393