Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Actualizada distro REMnux Linux 7 para el análisis de Malware




REMnux es una popular kit de herramientas basado en Linux para analizar software malicioso de ingeniería inversa en el que los analistas de malware han estado confiando durante más de 10 años para ayudarlos a investigar rápidamente programas sospechosos, sitios web y fichero o archivos de documentos.





REMnux está basado en Ubuntu, Ubuntu 18.04 “Bionic Beaver” y escritorio GNOME. Creado y mantenido principalmente por Lenny Zeltser, miembro de la facultad de SANS y autor del curso, la distribución viene con utilidades configuradas de fábrica para ayudar a los amantes de la ingeniería inversa para ahorrar tiempo y analizar el malware más rápido.


Se puede instalar como un:


REMnux 7


La nueva versión REMnux ha sido completamente reconstruida y se basa en SaltStack para automatizar la instalación y configuración del software, lo que permite a los miembros de la comunidad contribuir con herramientas y revisiones.

Se ha actualizado una colección curada de cientos de herramientas para incluir las últimas revisiones.

Las utilidades permiten las siguientes tareas:

  • Examinar ejecutables sospechosos, documentos y otros artefactos.
  • Ingeniería inversa dinámica de código malicioso
  • Ejecutar análisis forenses de memoria en un host infectado
  • Explore las interacciones de red y sistema para el análisis de comportamiento
  • Analizar documentos maliciosos
  • Comprobar propiedades estáticas
  • Recopilar y analizar datos.
  • Análisis de código estático

Herramientas REMnux 7


Un resumen de las herramientas incluidas en REMnux y el propósito al que sirven ofrece una visión más clara del amplio alcance del proyecto, mientras que la nueva documentación proporciona una mirada en profundidad al equipo de software presente en la distribución.


La distribución incluye una selección bastante completa de herramientas para analizar malware, utilidades para código de ingeniería inversa, programas para estudiar PDF y documentos de oficina modificados por hackers y herramientas para monitorear la actividad del sistema.

De las herramientas con las que cuenta esta distribución, podremos encontrar las siguientes:

Análisis del sitio web

En esta sección se incluyen las siguientes herramientas: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.

Análisis de películas Flash

En esta sección se incluyen las siguientes herramientas: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.

Análisis Java

En esta sección se incluyen las siguientes herramientas: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.

Análisis de JavaScript

En esta sección se incluyen las siguientes herramientas:Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.

Análisis PDF

En esta sección se incluyen las siguientes herramientas: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.

Análisis de documentos de Microsoft Office

officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.

Análisis de documentos de Office maliciosos con OLEDUMP


Los documentos de Microsoft Office son un vehículo común utilizado por los autores de malware para distribuir malware. Estos documentos, que se utilizan con fines maliciosos, se denominan comúnmente maldocs. Si bien ha habido una variedad de formas en las que se han utilizado, una de las más frecuentes es mediante el uso de macros. Las macros están escritas en Visual Basic para Aplicaciones (VBA), que está bien documentado en Microsoft Developer Network (MSDN). Esta API permite a los autores de malware conectarse con los eventos del ciclo de vida de un documento, como AutoOpen, AutoClose y AutoSalir (MSDN) para lograr la ejecución del código con una interacción mínima del usuario. Si bien hay una variedad de protecciones de seguridad que ahora se ofrecen a través de la suite ofimática, los maldocs continúan plagando tanto a los usuarios empresariales como domésticos. En esta publicación, analizaremos oledump, que es una herramienta basada en Python producida por Didier Stevens que se puede utilizar para extraer e inspeccionar flujos de macros.

Oledump: ayuda y uso


Oledump es un programa basado en Python, todo lo que necesita instalado en su sistema de análisis es Python y una sola dependencia, OleFileIO_PL. También puede obtener una copia de REMnux, que es una distribución de análisis de malware preconfigurada de Ubuntu Linux. Esta distribución ya tiene oledump configurado y asignado a su ruta, por lo que todo lo que tiene que hacer es abrir una terminal y listo. Usaré la última versión de REMnux en el momento de escribir este artículo.

Para usar oledump, abra una terminal y escriba el siguiente comando, el argumento "-h" mostrará la ayuda y la información de uso:

oledump.py -h


Encontrar macros

Ahora estamos listos para analizar un documento malicioso; usaré esta muestra si quieres seguir adelante. El primer paso suele ser determinar si el documento contiene macros. Ejecutar oledump y proporcionar la ruta al maldoc como único argumento producirá lo que considero una tabla de contenido. Los documentos de Office utilizan el formato OLE para almacenar y organizar el contenido dentro de un documento de Office (MSDN). Cuando ve el contenido de un maldoc, está mirando los flujos y almacenamientos de ese documento. Oledump ayuda a identificar los flujos que contienen macros agregando una M mayúscula o minúscula junto al índice. Ejecute el siguiente comando para ver la estructura de nuestro documento malicioso. 

oledump.py demo.doc

Descarga de flujos de macro

Cuando esté listo para ver el contenido de una secuencia de macros, debe proporcionar información adicional a oledump a través de los argumentos de la línea de comandos, es decir, el índice que desea ver y decirle a oledump que descomprima la secuencia. Los flujos de macros se comprimen dentro del documento, si no le indica a oledump que los descomprima, no podrá ver su contenido. Los dos argumentos que necesitamos ahora son "-s" y "-v". El primer argumento define la secuencia que queremos investigar, mientras que el segundo argumento indica a oledump que descomprima esa secuencia. El argumento de descompresión solo funciona con los flujos de macros comprimidos.

Veamos el código dentro de la secuencia 12, escriba el siguiente comando: 

oledump.py -s 12 -v demo.doc

 

Análisis de Shellcode

sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.

Código ofuscado

unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS.

Extracción de datos de cadena

strdeobj, pestr, strings.

Recuperación de archivos

Foremost, Scalpel, bulk_extractor, Hachoir.

Monitoreo de la actividad de la red

Wireshark, ngrep, TCPDump, tcpick.

Análisis de volcados de memoria

Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff , Rekall , linux_mem_diff_tool.

Análisis de archivos PE ejecutables

UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.

Servicios de red

FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.

Utilidades de red

prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.

De las demás herramientas que se incluyen

  • Trabajando con una colección de ejemplos de malware: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
  • Definición de firmas: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
  • Escaneo: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
  • Trabajando con hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
  • Análisis de malware de Linux: Sysdig y Unhide.
  • Desensambladores: Vivisect, Udis86, objdump.
  • Sistemas de rastreo: strace y ltrace.
  • Investigar: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
  • Trabajando con datos de texto: SciTE, Geany yVim.
  • Trabajando con imágenes: feh y ImageMagick.
  • Trabajando con archivos binarios: wxHexEditor y VBinDiff.
  • Análisis de malware para dispositivos móviles: Androwarn y AndroGuard.

Examine Static Properties

General

  • bulk_extractor
  • signsrch 
  • ExifTool
  • TrID
  • Disitool
  • Hash ID
  • ssdeep 
  • 7-Zip
  • DroidLysis
  • wxHexEditor
  • pyew
  • Hachoir
  • zipdump.py
  • StringSifter

PE Files

  • PEframe
  • pedump
  • ClamAV
  • pev
  • bearparser
  • Manalyze
  • PortEx
  • pefile

ELF Files

  • pyelftools

Deobfuscation

  • CyberChef
  • XORSearch
  • Balbuzard
  • base64dump
  • unXOR
  • XORStrings
  • ex_pe_xor
  • brxor.py
  • xortool
  • NoMoreXOR
  • XORBruteForcer
  • unicode
  • FLOSS
  • strdeob.pl
  • xor-kpa.py
  • RATDecoders
  • DC3-MWCP
  • translate.py

Statically Analyze Code

General

  • Vivisect
  • objdump
  • Ghidra
  • Cutter
  • BinNavi
  • pyew

Unpacking

  • Bytehist
  • UPX
  • TrID
  • ClamAV
  • de4dot

PE Files

  • binee
  • capa

Java

  • jd-gui
  • JAD
  • Java Cache IDX Parser
  • Javassist
  • CFR
  • Procyon

Android

  • AndroGuard
  • dex2jar
  • apktool
  • baksmali
  • DroidLysis

Python

  • Decompyle++
  • Pyinstaller Extractor
 
Flash

  • Flare
  • Flasm
  • xxxswf

SWF Tools

  • extract_swf
  • swf_mastah

Dynamically Reverse-Engineer

General

  • radare2
  • Wine

Shellcode

  • shellcode2exe.py
  • shellcode2exe.bat
  • libemu, sctest
  • scdbg
  • cut-bytes.py
  • XORSearch
  • InlineEgg-ng

Scripts


  • SpiderMonkey
  • SpiderMonkey (Patched)
  • Rhino Debugger
  • objects.js
  • JS Beautifier
  • box-js
  • PowerShell Core
  • ExtractScripts
  • STPyV8

ELF Files


  • strace
  • ltrace
  • gdb
  • edb

Explore Network Interactions


Monitoring

  • Burp Suite Community Edition
  • Network Miner Free Edition
  • tcpick
  • tcpdump
  • Wireshark
  • tshark
  • ngrep
  • tcpxtract
  • mitmproxy
  • tcpflow
  • PolarProxy

Services

  • INetSim
  • fakedns
  • Nginx
  • fakemail
  • FakeNet-NG
  • netcat
  • inspire IRCd 3
  • accept-all-ips

Connecting

  • netcat
  • cURL
  • wget
  • thug
  • Tor
  • EPIC IRC Client

Perform Memory Forensics


  • bulk_extractor
  • Volatility Framework 2.x
  • Volatility 3.x
  • linux_mem_diff_tool
  • bulk_extractor
  • RSAKeyFinder
  • AESKeyFinder

Investigate System Interactions

  • Unhide
  • Sysdig
  • ProcDOT

Analyze Documents


General


  • base64dump
  • Tesseract OCR
  • Microsoft Office
  • officeparser
  • XLMMacroDeobfuscator
  • oletools
  • libolecf
  • oledump
  • ViperMonkey
  • SSView
  • pcodedmp
  • msoffice-crypt
  • rtfdump
  • zipdump.py
Ejemplo analizar documento malicioso Word

remnux@remnux:~$ oledump.py fichero.docx

PDF


  • pdftk-java
  • pdfobjflow
  • pdfid
  • pdf-parser
  • peepdf
  • Origami
  • PDF X-Ray Lite
  • swf_mastah
  • qpdf
  • pdfresurrect
  • Email Messages
  • emldump
  • MSGConvert

Gather and Analyze Data


Automater


  • virustotal-search
  • virustotal-submit
  • pdnstool
  • ioc-parser
  • ioc_writer
  • Yara
  • VirusTotalApi
  • Viper
  • ipwhois
  • time-decode
  • malwoverview
  • DeXRAY
  • Scalpel
  • PyPDNS
  • shodan
  • nsrllookup

View or Edit Files


  • SciTE
  • feh
  • ImageMagick
  • wxHexEditor
  • VBinDiff
  • Xpdf
  • dos2unix
  • Visual Studio Code

General Utilities

  • IBus
  • Docker
  • Wine
  • Nautilus
  • OpenSSH
  • 7-Zip
  • cabextract
  • PowerShell Core
  • myip
  • PostgreSQL
  • GNOME Calculator
  • Firefox
  • REMnux Installer
  • cURL
  • GNU Wget
  • unrar-free
  • Info-ZIP
  • SQLite


Tener tantas utilidades disponibles podría ser engorroso, pero una hoja de trucos REMnux v7 (PDF, Word editable) del creador del proyecto debería ayudar a los usuarios a encontrar rápidamente los instrumentos que necesitan. Una variante más extendida está disponible

Analyze Windows Executables

Reverse-Engineer Linux Binaries

Investigate Other Forms of Malicious Code

Examine Suspicious Documents

Explore Network Interactions

Gather and Analyze Data

Other Analysis Tasks

Use Docker Containers for Analysis



Los usuarios que deseen más detalles y una descripción general de los cambios "nuevos y emocionantes" en REMnux junto con los beneficios adicionales, pueden unirse a una transmisión por Internet gratuita el martes 28 de julio (10:30 EDT), para aprender todo de Lenny Zeltser.


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.