Ubunlog David Naranjo  

REMnux una distribución enfocada en el análisis de malware basada en Ubuntu

Hace pocos días fue liberada la nueva version de la distribución de Linux “REMnux 7.0” y la cual llega después de cinco años después de la publicación del último número.

Esta distribución está diseñada para estudiar y realizar ingeniería inversa del código de los programas maliciosos. En el proceso de análisis, REMnux permite proporcionar un entorno de laboratorio aislado en el que puede emular el funcionamiento de un servicio de red atacado específico para estudiar el comportamiento del malware en condiciones cercanas a las reales.

Otra área de aplicación para REMnux es estudiar las propiedades de las inserciones maliciosas en los sitios web de JavaScript.

Sobre REMnux

La distribución se basa en Ubuntu 18.04 y utiliza el entorno de usuario LXDE. La distribución incluye una selección bastante completa de herramientas para analizar malware, utilidades para código de ingeniería inversa, programas para estudiar PDF y documentos de oficina modificados por hackers y herramientas para monitorear la actividad del sistema.

De las herramientas con las que cuenta esta distribución, podremos encontrar las siguientes:

Análisis del sitio web

En esta sección se incluyen las siguientes herramientas: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.

Análisis de películas Flash

En esta sección se incluyen las siguientes herramientas: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.

Análisis Java

En esta sección se incluyen las siguientes herramientas: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.

Análisis de JavaScript

En esta sección se incluyen las siguientes herramientas:Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.

Análisis PDF

En esta sección se incluyen las siguientes herramientas: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.

Análisis de documentos de Microsoft Office

officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.

Análisis de Shellcode

sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.

Código ofuscado

unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS.

Extracción de datos de cadena

strdeobj, pestr, strings.

Recuperación de archivos

Foremost, Scalpel, bulk_extractor, Hachoir.

Monitoreo de la actividad de la red

Wireshark, ngrep, TCPDump, tcpick.

Análisis de volcados de memoria

Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff , Rekall , linux_mem_diff_tool.

Análisis de archivos PE ejecutables

UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.

Servicios de red

FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.

Utilidades de red

prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.

De las demás herramientas que se incluyen

  • Trabajando con una colección de ejemplos de malware: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
  • Definición de firmas: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
  • Escaneo: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
  • Trabajando con hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
  • Análisis de malware de Linux: Sysdig y Unhide.
  • Desensambladores: Vivisect, Udis86, objdump.
  • Sistemas de rastreo: strace y ltrace.
  • Investigar: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
  • Trabajando con datos de texto: SciTE, Geany yVim.
  • Trabajando con imágenes: feh y ImageMagick.
  • Trabajando con archivos binarios: wxHexEditor y VBinDiff.
  • Análisis de malware para dispositivos móviles: Androwarn y AndroGuard.

¿Qué hay de nuevo en REMnux 7.0?

De los principales cambios que se presentan en esta nueva version de la distribución uno de ellos es el cambio a la version LTS de Ubuntu 18.04 junto con lo cual la distribución en esta entrega fue rediseñada desde cero y no simplemente fue un upgrade de la base.

Además de que en la nueva versión, todas las herramientas ofrecidas se han actualizado con lo cual el paquete de distribución se ha ampliado significativamente (el tamaño de la imagen de la máquina virtual se ha duplicado).

También la documentación de REMnux se ha actualizado para proporcionar a los usuarios una lista más extensa y categorizada de las herramientas disponibles, junto con detalles sobre sus autores, licencia y página de inicio.

Descarga

Para quienes estén interesados en poder probar esta distribución, pueden obtener la imagen del sistema desde su sitio web oficial.

El enlace es este.

David Naranjo

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.