Se puede instalar como un:

• Dispositivo virtual (OVA (Open Virtualization Format). Utilizando algún software de virtualización  como VirtualBox o Vmware player)
• Configurarlo como un sistema operativo independiente
• Añadirlo a Ubuntu
• Ejecutarlo como un contenedor Docker

REMnux 7

La nueva versión REMnux ha sido completamente reconstruida y se basa en SaltStack para automatizar la instalación y configuración del software, lo que permite a los miembros de la comunidad contribuir con herramientas y revisiones.

Se ha actualizado una colección curada de cientos de herramientas para incluir las últimas revisiones.

Las utilidades permiten las siguientes tareas:

• Examinar ejecutables sospechosos, documentos y otros artefactos.
• Ingeniería inversa dinámica de código malicioso
• Ejecutar análisis forenses de memoria en un host infectado
• Explore las interacciones de red y sistema para el análisis de comportamiento
• Analizar documentos maliciosos
• Comprobar propiedades estáticas
• Recopilar y analizar datos.
• Análisis de código estático

Herramientas REMnux 7

Un resumen de las herramientas incluidas en REMnux y el propósito al que sirven ofrece una visión más clara del amplio alcance del proyecto, mientras que la nueva documentación proporciona una mirada en profundidad al equipo de software presente en la distribución.

• https://zeltser.com/media/docs/remnux-v7-tools-july-2020.pdf

La distribución incluye una selección bastante completa de herramientas para analizar malware, utilidades para código de ingeniería inversa, programas para estudiar PDF y documentos de oficina modificados por hackers y herramientas para monitorear la actividad del sistema.

De las herramientas con las que cuenta esta distribución, podremos encontrar las siguientes:

Análisis del sitio web

En esta sección se incluyen las siguientes herramientas: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.

Análisis de películas Flash

En esta sección se incluyen las siguientes herramientas: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.

Análisis Java

En esta sección se incluyen las siguientes herramientas: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.

Análisis de JavaScript

En esta sección se incluyen las siguientes herramientas:Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.

Análisis PDF

En esta sección se incluyen las siguientes herramientas: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.

Análisis de documentos de Microsoft Office

officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.

Análisis de documentos de Office maliciosos con OLEDUMP

oledump.py -h

Encontrar macros

Ahora estamos listos para analizar un documento malicioso; usaré esta muestra si quieres seguir adelante. El primer paso suele ser determinar si el documento contiene macros. Ejecutar oledump y proporcionar la ruta al maldoc como único argumento producirá lo que considero una tabla de contenido. Los documentos de Office utilizan el formato OLE para almacenar y organizar el contenido dentro de un documento de Office (MSDN). Cuando ve el contenido de un maldoc, está mirando los flujos y almacenamientos de ese documento. Oledump ayuda a identificar los flujos que contienen macros agregando una M mayúscula o minúscula junto al índice. Ejecute el siguiente comando para ver la estructura de nuestro documento malicioso. 

oledump.py demo.doc

Descarga de flujos de macro

Cuando esté listo para ver el contenido de una secuencia de macros, debe proporcionar información adicional a oledump a través de los argumentos de la línea de comandos, es decir, el índice que desea ver y decirle a oledump que descomprima la secuencia. Los flujos de macros se comprimen dentro del documento, si no le indica a oledump que los descomprima, no podrá ver su contenido. Los dos argumentos que necesitamos ahora son "-s" y "-v". El primer argumento define la secuencia que queremos investigar, mientras que el segundo argumento indica a oledump que descomprima esa secuencia. El argumento de descompresión solo funciona con los flujos de macros comprimidos.

Veamos el código dentro de la secuencia 12, escriba el siguiente comando: 

oledump.py -s 12 -v demo.doc

 

Análisis de Shellcode

sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.

Código ofuscado

unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS.

Extracción de datos de cadena

strdeobj, pestr, strings.

Recuperación de archivos

Foremost, Scalpel, bulk_extractor, Hachoir.

Monitoreo de la actividad de la red

Wireshark, ngrep, TCPDump, tcpick.

Análisis de volcados de memoria

Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff , Rekall , linux_mem_diff_tool.

Análisis de archivos PE ejecutables

UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.

Servicios de red

FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.

Utilidades de red

prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.

De las demás herramientas que se incluyen

• Trabajando con una colección de ejemplos de malware: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
• Definición de firmas: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
• Escaneo: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
• Trabajando con hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
• Análisis de malware de Linux: Sysdig y Unhide.
• Desensambladores: Vivisect, Udis86, objdump.
• Sistemas de rastreo: strace y ltrace.
• Investigar: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
• Trabajando con datos de texto: SciTE, Geany yVim.
• Trabajando con imágenes: feh y ImageMagick.
• Trabajando con archivos binarios: wxHexEditor y VBinDiff.
• Análisis de malware para dispositivos móviles: Androwarn y AndroGuard.

Examine Static Properties

General

• bulk_extractor
• signsrch 
• ExifTool
• TrID
• Disitool
• Hash ID
• ssdeep 
• 7-Zip
• DroidLysis
• wxHexEditor
• pyew
• Hachoir
• zipdump.py
• StringSifter

PE Files

• PEframe
• pedump
• ClamAV
• pev
• bearparser
• Manalyze
• PortEx
• pefile

ELF Files

• pyelftools

Deobfuscation

• CyberChef
• XORSearch
• Balbuzard
• base64dump
• unXOR
• XORStrings
• ex_pe_xor
• brxor.py
• xortool
• NoMoreXOR
• XORBruteForcer
• unicode
• FLOSS
• strdeob.pl
• xor-kpa.py
• RATDecoders
• DC3-MWCP
• translate.py

Statically Analyze Code

General

• Vivisect
• objdump
• Ghidra
• Cutter
• BinNavi
• pyew

Unpacking

• Bytehist
• UPX
• TrID
• ClamAV
• de4dot

PE Files

• binee
• capa

Java

• jd-gui
• JAD
• Java Cache IDX Parser
• Javassist
• CFR
• Procyon

Android

• AndroGuard
• dex2jar
• apktool
• baksmali
• DroidLysis

Python

• Decompyle++
• Pyinstaller Extractor

 
Flash

• Flare
• Flasm
• xxxswf

SWF Tools

• extract_swf
• swf_mastah

Dynamically Reverse-Engineer

General

• radare2
• Wine

Shellcode

• shellcode2exe.py
• shellcode2exe.bat
• libemu, sctest
• scdbg
• cut-bytes.py
• XORSearch
• InlineEgg-ng

Scripts

• SpiderMonkey
• SpiderMonkey (Patched)
• Rhino Debugger
• objects.js
• JS Beautifier
• box-js
• PowerShell Core
• ExtractScripts
• STPyV8

ELF Files

• strace
• ltrace
• gdb
• edb

Explore Network Interactions

Monitoring

• Burp Suite Community Edition
• Network Miner Free Edition
• tcpick
• tcpdump
• Wireshark
• tshark
• ngrep
• tcpxtract
• mitmproxy
• tcpflow
• PolarProxy

Services

• INetSim
• fakedns
• Nginx
• fakemail
• FakeNet-NG
• netcat
• inspire IRCd 3
• accept-all-ips

Connecting

• netcat
• cURL
• wget
• thug
• Tor
• EPIC IRC Client

Perform Memory Forensics

• bulk_extractor
• Volatility Framework 2.x
• Volatility 3.x
• linux_mem_diff_tool
• bulk_extractor
• RSAKeyFinder
• AESKeyFinder

Investigate System Interactions

• Unhide
• Sysdig
• ProcDOT

Analyze Documents

General

• base64dump
• Tesseract OCR
• Microsoft Office
• officeparser
• XLMMacroDeobfuscator
• oletools
• libolecf
• oledump
• ViperMonkey
• SSView
• pcodedmp
• msoffice-crypt
• rtfdump
• zipdump.py

Ejemplo analizar documento malicioso Word

remnux@remnux:~$ oledump.py fichero.docx

PDF

• pdftk-java
• pdfobjflow
• pdfid
• pdf-parser
• peepdf
• Origami
• PDF X-Ray Lite
• swf_mastah
• qpdf
• pdfresurrect
• Email Messages
• emldump
• MSGConvert

Gather and Analyze Data

Automater

• virustotal-search
• virustotal-submit
• pdnstool
• ioc-parser
• ioc_writer
• Yara
• VirusTotalApi
• Viper
• ipwhois
• time-decode
• malwoverview
• DeXRAY
• Scalpel
• PyPDNS
• shodan
• nsrllookup

View or Edit Files

• SciTE
• feh
• ImageMagick
• wxHexEditor
• VBinDiff
• Xpdf
• dos2unix
• Visual Studio Code

General Utilities

• IBus
• Docker
• Wine
• Nautilus
• OpenSSH
• 7-Zip
• cabextract
• PowerShell Core
• myip
• PostgreSQL
• GNOME Calculator
• Firefox
• REMnux Installer
• cURL
• GNU Wget
• unrar-free
• Info-ZIP
• SQLite

Tener tantas utilidades disponibles podría ser engorroso, pero una hoja de trucos REMnux v7 (PDF, Word editable) del creador del proyecto debería ayudar a los usuarios a encontrar rápidamente los instrumentos que necesitan. Una variante más extendida está disponible

• https://zeltser.com/remnux-malware-analysis-tips/ 

Analyze Windows Executables

• Static Properties: manalyze, peframe, pefile, pyew, exiftool, clamscan, pescan, portex, bearcommander
• Strings and Deobfuscation:  pestr, bbcrack, brxor.py, base64dump, xorsearch, flarestrings, floss, cyberchef
• Code Emulation: binee, capa, vivbin
• Disassemble/Decompile: ghidra, cutter,  objdump, r2
• Unpacking: bytehist, de4dot, upx, ILSpy (.NET)

Reverse-Engineer Linux Binaries

• Static Properties: trid, exiftool, pyew, readelf.py
• Disassemble/Decompile: ghidra, cutter,  objdump, r2
• Debugging: edb, gdb
• Behavior Analysis:  ltrace, strace, frida, sysdig, unhide

Investigate Other Forms of Malicious Code

• Android: apktool, droidlysis3.py, androgui.py, baksmali, dex2jar
• Java: cfr, procyon, jad, jd-gui, idx_parser.py
• Python: pyinstxtractor.py, pycdc
• JavaScript: js, js-file, objects.js, box-js
• Shellcode: shellcode2exe.bat, scdbg, xorsearch
• PowerShell: pwsh, base64dump
• Flash: swfdump, flare, flasm,  swf_mastah.py, xxxswf.

Examine Suspicious Documents

• Microsoft Office Files: vmonkey, pcodedmp, olevba, xlmdeobfuscator, oledump.py, msoffice-crypt, ssview
• RTF Files: rtfobj, rtfdump
• Email Messages: emldump, msgconvert
• PDF Files: pdfid, pdfparser, pdfextract, pdfdecrypt, peepdf, pdftk, pdfresurrect, qpdf, pdfobjflow
• General: base64dump, tesseract, exiftool

Explore Network Interactions

• Monitoring: burpsuite, networkminer,  polarproxy, mitmproxy, wireshark, tshark, ngrep, tcpxtract, tcpick
• Connecting: thug, nc, tor, wget, curl, irc, ssh
• Services: fakedns, fakemail, accept-all-ips, nc, httpd, inetsim, fakenet, sshd, myip

Gather and Analyze Data

• Network: Automater.py, shodan, ipwhois_cli.py, pdnstool
• Hashes: malwoverview.py, nsrllookup, Automater.py, vt, virustotal-search.py
• Files: yara, scalpel, bulk_extractor, ioc_writer
• Other: dexray, viper, time-decode.py

Other Analysis Tasks

• Memory Forensics: vol.py, vol3, linux_mem_diff.py, aeskeyfind, rsakeyfind, bulk_extractor
• File Editing: wxHexEditor, scite, code, xpdf, convert
• File Extraction: 7z, unzip, unrar, cabextract

Use Docker Containers for Analysis

• Thug Honeyclient: remnux/thug
• JSDetox JavaScript Analysis: remnux/jsdetox
• Rekall Memory Forensics: remnux/recall
• RetDec Decompiler: remnux/retdec
• Radare2 Reversing Framework: remnux/radare2
• REMnux distro in a Container: remnux/remnux-distro

Los usuarios que deseen más detalles y una descripción general de los cambios "nuevos y emocionantes" en REMnux junto con los beneficios adicionales, pueden unirse a una transmisión por Internet gratuita el martes 28 de julio (10:30 EDT), para aprender todo de Lenny Zeltser.

• https://www.sans.org/webcasts/whats-remnux-v7-113390