REMnux

REMnux er en åpen kildekode Ubuntu-baserte distribusjonen av Linux spesielt utviklet for malware analytikere som er ute etter et gratis alternativ operativsystemet til Microsoft Windows, for å få dem til å reverse-engineering ondsinnet programvare.

Sentrale funksjoner inkluderer muligheten til å undersøke nettleser malware, styring av nettverks interaksjoner, dekode og trekke ut gjenstander, undersøke dokumentfiler, undersøke Linux malware, statisk undersøke PE-filer, undersøke filegenskaper og innhold, behandle flere prøver, undersøke minne snapshots , samt å redigere og vise et bredt spekter av filer.

Operativsystemet kan lastes ned som en enkelt Live-DVD ISO image som støtter både 32-bit og 64-bit maskinvareplattformer og må skrives på DVD-plater eller USB-minnepinner på 2GB eller høyere kapasitet for å starte det fra BIOS på en PC, samt en virtuell apparatet arkiv (OVA) for VirtualBox og VMware virtualisering programvare.

Det har en standard oppstartslaster som kan bli funnet på et bredt spekter av Linux-distribusjoner basert på Ubuntu, slik at brukeren kan starte levende miljø med standardvalgene eller i sikkergrafikkmodus ved å tvinge VESA rammebuffer, utføre en systemminne (RAM) test, og starte opp et eksisterende operativsystem fra den første disken.

Som standard er Live CD konstruert for å åpne en terminal emulator fra get-go. Den bruker Lightweight X11 Desktop Environment (LXDE) med en mørk kunstverk og et enkelt panel plassert på nedre kant av skjermen, hvor brukeren kan få tilgang til programmene eller samhandle med programmer som kjører.

Blant de forhåndsinstallerte apps, kan vi nevne SciTE tekst editor, wxHexEditor hex editor, Wireshark nettverksskanner, XMind tankekart verktøy, SQLite database nettleser, Mozilla Firefox nettleser, og LXMusic musikkspiller.

Oppsummering, er REMnux definitivt ikke en Linux-distribusjon for den vanlige brukeren. Den er basert på en eldre, som ikke støttes versjon av Ubuntu (11.10 - Oneiric Ocelot)., Men leverer en pen samling av andre nyttige funksjoner som vil hjelpe malware analytikere til å reverse-engineering ondsinnet programvare

Hva er nytt i denne versjonen:

• Jeg er glade for å kunn v6 utgivelsen av REMnux distro, som hjelper analytikere undersøke malware ved hjelp av gratis verktøy i et Linux-miljø. REMnux v6 oppdaterer verktøyene som var til stede i tidligere revisjoner av distro og introduserer flere nye. Videre gjennomfører det store arkitektoniske endringer bak kulissene for å tillate REMnux brukerne å enkelt søke fremtidige oppdateringer uten å måtte laste ned hele REMnux miljøet fra bunnen av.
• Få REMnux v6:
• Den enkleste måten å få den nyeste REMnux fordelingen er å laste ned sin virtuelle maskinen OVA fil, deretter importere den til din favoritt virtualisering program, for eksempel VMware Workstation og VirtualBox. Etter å ha startet den importerte virtuelle maskinen, kjøre & quot; update-remnux fulle & quot; kommandoen for å oppdatere programvaren sin. For detaljerte instruksjoner, kan du se REMnux monteringsanvisning.
• Alternativt kan du legge den REMnux distro til en eksisterende fysisk eller virtuelt system som kjører en kompatibel versjon av Ubuntu, inkludert SIFT Workstation. Du kan oppnå dette ved å kjøre installasjonsskript REMnux som forklart i dokumentasjonen.
• Etter installasjon REMnux v6, vil du være i stand til å få oppdateringer ved å kjøre & quot; update-remnux & quot; kommando. Følg REMnux kontoer på Twitter, Facebook og Google Plus å motta varslinger når sine malware analyse pakker oppdateres eller når nye er lagt til verktøysettet.
• Verktøy Lagt til REMnux v6:
• REMnux v6 inneholder følgende verktøy som ikke har vært en del av fordelingen i tidligere utgivelser.
• pedump, readpe.py: Statisk undersøke egenskapene til en Windows PE-fil
• Virustotal-verktøy: Samhandle med Virustotal database fra kommandolinjen
• Nginx: webserver som erstatter Tiny HTTPD som var til stede på REMnux tidligere
• VolDiff: Sammenlign minneetterforskning bilder å oppdage endringer ved hjelp Volatilitet
• Regel Redaktør: Edit IOC Yara, Snort og OpenIOC regler, erstatte sin forløper Yara Editor
• Rekall: Minneetterforskning verktøy og rammeverk
• m2elf: Opprett en ELF binærfil av shellcode
• Yara Regler: Signaturer for småblødninger ondsinnede karakteristikker i filer
• OfficeDissector MASTIFF plugins: Undersøk Microsoft Office XML-baserte filer ved hjelp MASTIFF
• Docker: Kjør programmer som isolerte containere på den lokale verten
• AndroGuard: Analyser mistenkelige Android-programmer
• vtTool: Bestem prøven sin malware familienavn ved å spørre Virustotal
• oletools, libolecf: Analyser Microsoft Office OLE2 filer
• tcpflow: Undersøke nettverkstrafikk og skjære PCAP digitaliseringsfiler
• passive.py: Utføre passive DNS-oppslag ved hjelp av pdns bibliotek
• CapTipper: Undersøke nettverkstrafikk og skjære PCAP digitaliseringsfiler
• oledump: undersøke mistenkelige Microsoft Office-filer
• CFR: Dekompilere mistenke Java class filer
• update-remnux: Oppdatere distro, oppgraderer programvaren og installere nylig lagt verktøy
• REMnux v6 omfatter også følgende biblioteker, som programvareutviklere kan bruke for å bygge nye malware analyseverktøy og oppgaver.
• IOC Writer: Python bibliotek for oppretting og redigering OpenIOC gjenstander
• Cybox: Python bibliotek for parsing, manipulere, og genererer CybOX innhold
• diStorm3, Capstone: Python biblioteker for demontering binære filer
• pylibemu: Python bibliotek for tilgang libemu shellcode emulering funksjonalitet
• Yara Library: Python biblioteket for å identifisere og klassifisere malware prøver
• olefile: Python biblioteket for å lese / skrive Microsoft Office OLE2 filer
• PyV8: Python wrapper biblioteket for V8 Javascript-motoren
• pyssdeep: Python wrapper biblioteket for ssdeep fuzzy hashing verktøy
• pyexiftool: Python wrapper biblioteket for ExifTool
• OfficeDissector: Python-biblioteket til mistenke Microsoft Office XML-baserte filer
• pdns: Python bibliotek for å utføre passive DNS-oppslag
• Javassist: Java-bibliotek som bistår med å undersøke Java bytecode
• For en liste over malware analyse verktøy tilgjengelig på REMnux, se dokumentasjonen nettstedet, som inkluderer et regneark og et tankekart av verktøyene og gir noen tips for bruk.
• Oppdatert REMnux Arkitektur:
• Et hovedmål med v6 utgivelsen av REMnux, utover oppgradering og utbygging av verktøyet sett, er å modernisere distro fundament og samtidig beholde det kjente utseendet. Folk kjent med de tidligere REMnux utgivelser skal kunne bruke omgivelsene uten å måtte justere sine vaner. Viktigst, kan REMnux v6 brukere motta fremtidige oppdateringer til distro bruker & quot; update-remnux & quot; script uten å måtte laste ned en helt ny virtuell maskin for å utføre oppgraderinger.
• For å oppnå disse målene, er REMnux v6 basert på Ubuntu 14.04 64-bit. Det er et populært og stabilt OS som vil være rundt en stund, fordi det er en Long Term Support (LTS) utgivelse. Også REMnux avhenger nå tungt på Debian-pakker vert i depotet for å legge til rette for praktiske oppdateringer.
• Som et resultat, REMnux kan installeres på alle nye eller eksisterende system som kjører Ubuntu 14.04 64-bit, uansett om det er en fysisk eller virtuell maskin. Denne utgivelsen er designet for å være kompatibel med SIFT Workstation, slik at folk kan installere både utdelinger på samme system, hvis de ønsker det.

Hva er nytt i versjon 5.0:

• Viktige oppdateringer til eksisterende verktøy og komponenter:
• Core-systemet: Oppgradert de underliggende Ubuntu OS komponenter og pakker; økt standard RAM av den virtuelle maskinen til 512; erstattet OpenJDK med Oracle Java 7 runtime.
• Minne analyse. Oppdatert Volatilitet til versjon 2.2
• PDF analyse: Oppdatert pdfid og pdf-parser, Origami, peepdf
• Web analyse: Oppdatert SWFTools, V8, libemu, NetworkMiner, Rap Proxy, Wireshark, Firefox og dens tilleggsprogrammer
.
• Andre endringer: Oppdatert xorsearch, DensityScout, Pyew, passiv-dns, ClamAV, capabilities.yara; erstattet Mind med XMind
• Nye verktøy lagt til REMnux:
• Windows-verktøy: Installert Wine; ekstra OfficeMalScanner, Malzilla
• XOR analyse: Lagt NoMoreXOR, brutexor, XORBruteForcer
• PE-fil analyse: Lagt pEV, DISM-dette, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• Annet fil analyse: Lagt extract_swf.py, ExifTool, MASTIFF
• Andre tillegg: Lagt hack-funksjoner (/ usr / local / Hack-funksjoner), bulk_extractor, ProcDot

Hva er nytt i versjon 3.0:

• REMnux ble ombygd til å være basert på Ubuntu 11.10 for å bedre vedlikehold , og samtidig opprettholde bakoverkompatibilitet uansett hvor praktisk.
• skrivebordsmiljø på REMnux har blitt migrert til å bruke LXDE for bedre brukervennlighet, og samtidig opprettholde den lette natur fordelingen.
• De malware analyseverktøy som er tilgjengelige i den tidligere versjonen av REMnux har blitt oppgradert til den nyeste stabile versjonene for å gi de nyeste funksjonene og forbedringene. De vesentligste oppdateringer inkluderer:
• Volatilitet Framework 2.0 for minneetterforskning med de nyeste malware og timeliner moduler
• Origami Work 1.2.3 for PDF-analyse, inkludert pdfcop, pdfextract, pdfwalker, pdfsh osv.
• REMnux inneholder flere malware analyseverktøy som ikke var til stede i tidligere versjoner av distribusjonen, inkludert:
• Nettverk analyse: NetworkMiner, ngrep, pdnstool
• PDF analyse: PDF X-Ray Lite (pdfxray_lite og swf_mastah), peepdf
• Script analyse: Chrome Javascript-motoren (D8), js-forskjønne
• Undersøke filer: Hachoir (Hachoir-Undermappe, Hachoir-metadata, Hachoir-urwid), pyew, densityscout, findaes
• Annet: JD-GUI, xxxswf.py, Freemind, xpdf, xortool