REMnux está basado en Ubuntu, Ubuntu 18.04 “Bionic Beaver” y escritorio GNOME. Creado y mantenido principalmente por Lenny Zeltser, miembro de la facultad de SANS y autor del curso, la distribución viene con utilidades configuradas de fábrica para ayudar a los amantes de la ingeniería inversa para ahorrar tiempo y analizar el malware más rápido.
Se puede instalar como un:
- Dispositivo virtual (OVA (Open Virtualization Format). Utilizando algún software de virtualización como VirtualBox o Vmware player)
- Configurarlo como un sistema operativo independiente
- Añadirlo a Ubuntu
- Ejecutarlo como un contenedor Docker
REMnux 7
La nueva versión REMnux ha sido completamente reconstruida y se basa en SaltStack para automatizar la instalación y configuración del software, lo que permite a los miembros de la comunidad contribuir con herramientas y revisiones.
Se ha actualizado una colección curada de cientos de herramientas para incluir las últimas revisiones.
Las utilidades permiten las siguientes tareas:
- Examinar ejecutables sospechosos, documentos y otros artefactos.
- Ingeniería inversa dinámica de código malicioso
- Ejecutar análisis forenses de memoria en un host infectado
- Explore las interacciones de red y sistema para el análisis de comportamiento
- Analizar documentos maliciosos
- Comprobar propiedades estáticas
- Recopilar y analizar datos.
- Análisis de código estático
Herramientas REMnux 7
Un resumen de las herramientas incluidas en REMnux y el propósito al que sirven ofrece una visión más clara del amplio alcance del proyecto, mientras que la nueva documentación proporciona una mirada en profundidad al equipo de software presente en la distribución.
La distribución incluye una selección bastante completa de herramientas para analizar malware, utilidades para código de ingeniería inversa, programas para estudiar PDF y documentos de oficina modificados por hackers y herramientas para monitorear la actividad del sistema.
De las herramientas con las que cuenta esta distribución, podremos encontrar las siguientes:
Análisis del sitio web
En esta sección se incluyen las siguientes herramientas: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.
Análisis de películas Flash
En esta sección se incluyen las siguientes herramientas: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.
Análisis Java
En esta sección se incluyen las siguientes herramientas: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.
Análisis de JavaScript
En esta sección se incluyen las siguientes herramientas:Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.
Análisis PDF
En esta sección se incluyen las siguientes herramientas: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.
Análisis de documentos de Microsoft Office
officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.
Análisis de documentos de Office maliciosos con OLEDUMP
Oledump: ayuda y uso
oledump.py -h
Encontrar macros
Ahora estamos listos para analizar un documento malicioso; usaré esta muestra si quieres seguir adelante. El primer paso suele ser determinar si el documento contiene macros. Ejecutar oledump y proporcionar la ruta al maldoc como único argumento producirá lo que considero una tabla de contenido. Los documentos de Office utilizan el formato OLE para almacenar y organizar el contenido dentro de un documento de Office (MSDN). Cuando ve el contenido de un maldoc, está mirando los flujos y almacenamientos de ese documento. Oledump ayuda a identificar los flujos que contienen macros agregando una M mayúscula o minúscula junto al índice. Ejecute el siguiente comando para ver la estructura de nuestro documento malicioso.
oledump.py demo.doc
Descarga de flujos de macro
Cuando esté listo para ver el contenido de una secuencia de macros, debe proporcionar información adicional a oledump a través de los argumentos de la línea de comandos, es decir, el índice que desea ver y decirle a oledump que descomprima la secuencia. Los flujos de macros se comprimen dentro del documento, si no le indica a oledump que los descomprima, no podrá ver su contenido. Los dos argumentos que necesitamos ahora son "-s" y "-v". El primer argumento define la secuencia que queremos investigar, mientras que el segundo argumento indica a oledump que descomprima esa secuencia. El argumento de descompresión solo funciona con los flujos de macros comprimidos.
Veamos el código dentro de la secuencia 12, escriba el siguiente comando:
oledump.py -s 12 -v demo.doc
Análisis de Shellcode
sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.
Código ofuscado
unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS.
Extracción de datos de cadena
strdeobj, pestr, strings.
Recuperación de archivos
Foremost, Scalpel, bulk_extractor, Hachoir.
Monitoreo de la actividad de la red
Wireshark, ngrep, TCPDump, tcpick.
Análisis de volcados de memoria
Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff , Rekall , linux_mem_diff_tool.
Análisis de archivos PE ejecutables
UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.
Servicios de red
FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.
Utilidades de red
prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.
De las demás herramientas que se incluyen
- Trabajando con una colección de ejemplos de malware: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
- Definición de firmas: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
- Escaneo: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
- Trabajando con hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
- Análisis de malware de Linux: Sysdig y Unhide.
- Desensambladores: Vivisect, Udis86, objdump.
- Sistemas de rastreo: strace y ltrace.
- Investigar: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
- Trabajando con datos de texto: SciTE, Geany yVim.
- Trabajando con imágenes: feh y ImageMagick.
- Trabajando con archivos binarios: wxHexEditor y VBinDiff.
- Análisis de malware para dispositivos móviles: Androwarn y AndroGuard.
Examine Static Properties
General
- bulk_extractor
- signsrch
- ExifTool
- TrID
- Disitool
- Hash ID
- ssdeep
- 7-Zip
- DroidLysis
- wxHexEditor
- pyew
- Hachoir
- zipdump.py
- StringSifter
PE Files
- PEframe
- pedump
- ClamAV
- pev
- bearparser
- Manalyze
- PortEx
- pefile
ELF Files
- pyelftools
Deobfuscation
- CyberChef
- XORSearch
- Balbuzard
- base64dump
- unXOR
- XORStrings
- ex_pe_xor
- brxor.py
- xortool
- NoMoreXOR
- XORBruteForcer
- unicode
- FLOSS
- strdeob.pl
- xor-kpa.py
- RATDecoders
- DC3-MWCP
- translate.py
Statically Analyze Code
General
- Vivisect
- objdump
- Ghidra
- Cutter
- BinNavi
- pyew
Unpacking
- Bytehist
- UPX
- TrID
- ClamAV
- de4dot
PE Files
- binee
- capa
Java
- jd-gui
- JAD
- Java Cache IDX Parser
- Javassist
- CFR
- Procyon
Android
- AndroGuard
- dex2jar
- apktool
- baksmali
- DroidLysis
Python
- Decompyle++
- Pyinstaller Extractor
Flash
- Flare
- Flasm
- xxxswf
SWF Tools
- extract_swf
- swf_mastah
Dynamically Reverse-Engineer
General
- radare2
- Wine
Shellcode
- shellcode2exe.py
- shellcode2exe.bat
- libemu, sctest
- scdbg
- cut-bytes.py
- XORSearch
- InlineEgg-ng
Scripts
- SpiderMonkey
- SpiderMonkey (Patched)
- Rhino Debugger
- objects.js
- JS Beautifier
- box-js
- PowerShell Core
- ExtractScripts
- STPyV8
ELF Files
- strace
- ltrace
- gdb
- edb
Explore Network Interactions
Monitoring
- Burp Suite Community Edition
- Network Miner Free Edition
- tcpick
- tcpdump
- Wireshark
- tshark
- ngrep
- tcpxtract
- mitmproxy
- tcpflow
- PolarProxy
Services
- INetSim
- fakedns
- Nginx
- fakemail
- FakeNet-NG
- netcat
- inspire IRCd 3
- accept-all-ips
Connecting
- netcat
- cURL
- wget
- thug
- Tor
- EPIC IRC Client
Perform Memory Forensics
- bulk_extractor
- Volatility Framework 2.x
- Volatility 3.x
- linux_mem_diff_tool
- bulk_extractor
- RSAKeyFinder
- AESKeyFinder
Investigate System Interactions
- Unhide
- Sysdig
- ProcDOT
Analyze Documents
General
- base64dump
- Tesseract OCR
- Microsoft Office
- officeparser
- XLMMacroDeobfuscator
- oletools
- libolecf
- oledump
- ViperMonkey
- SSView
- pcodedmp
- msoffice-crypt
- rtfdump
- zipdump.py
- pdftk-java
- pdfobjflow
- pdfid
- pdf-parser
- peepdf
- Origami
- PDF X-Ray Lite
- swf_mastah
- qpdf
- pdfresurrect
- Email Messages
- emldump
- MSGConvert
Gather and Analyze Data
Automater
- virustotal-search
- virustotal-submit
- pdnstool
- ioc-parser
- ioc_writer
- Yara
- VirusTotalApi
- Viper
- ipwhois
- time-decode
- malwoverview
- DeXRAY
- Scalpel
- PyPDNS
- shodan
- nsrllookup
View or Edit Files
- SciTE
- feh
- ImageMagick
- wxHexEditor
- VBinDiff
- Xpdf
- dos2unix
- Visual Studio Code
General Utilities
- IBus
- Docker
- Wine
- Nautilus
- OpenSSH
- 7-Zip
- cabextract
- PowerShell Core
- myip
- PostgreSQL
- GNOME Calculator
- Firefox
- REMnux Installer
- cURL
- GNU Wget
- unrar-free
- Info-ZIP
- SQLite
Tener tantas utilidades disponibles podría ser engorroso, pero una hoja de trucos REMnux v7 (PDF, Word editable) del creador del proyecto debería ayudar a los usuarios a encontrar rápidamente los instrumentos que necesitan. Una variante más extendida está disponible
Analyze Windows Executables
- Static Properties: manalyze, peframe, pefile, pyew, exiftool, clamscan, pescan, portex, bearcommander
- Strings and Deobfuscation: pestr, bbcrack, brxor.py, base64dump, xorsearch, flarestrings, floss, cyberchef
- Code Emulation: binee, capa, vivbin
- Disassemble/Decompile: ghidra, cutter, objdump, r2
- Unpacking: bytehist, de4dot, upx, ILSpy (.NET)
Reverse-Engineer Linux Binaries
- Static Properties: trid, exiftool, pyew, readelf.py
- Disassemble/Decompile: ghidra, cutter, objdump, r2
- Debugging: edb, gdb
- Behavior Analysis: ltrace, strace, frida, sysdig, unhide
Investigate Other Forms of Malicious Code
- Android: apktool, droidlysis3.py, androgui.py, baksmali, dex2jar
- Java: cfr, procyon, jad, jd-gui, idx_parser.py
- Python: pyinstxtractor.py, pycdc
- JavaScript: js, js-file, objects.js, box-js
- Shellcode: shellcode2exe.bat, scdbg, xorsearch
- PowerShell: pwsh, base64dump
- Flash: swfdump, flare, flasm, swf_mastah.py, xxxswf.
Examine Suspicious Documents
- Microsoft Office Files: vmonkey, pcodedmp, olevba, xlmdeobfuscator, oledump.py, msoffice-crypt, ssview
- RTF Files: rtfobj, rtfdump
- Email Messages: emldump, msgconvert
- PDF Files: pdfid, pdfparser, pdfextract, pdfdecrypt, peepdf, pdftk, pdfresurrect, qpdf, pdfobjflow
- General: base64dump, tesseract, exiftool
Explore Network Interactions
- Monitoring: burpsuite, networkminer, polarproxy, mitmproxy, wireshark, tshark, ngrep, tcpxtract, tcpick
- Connecting: thug, nc, tor, wget, curl, irc, ssh
- Services: fakedns, fakemail, accept-all-ips, nc, httpd, inetsim, fakenet, sshd, myip
Gather and Analyze Data
- Network: Automater.py, shodan, ipwhois_cli.py, pdnstool
- Hashes: malwoverview.py, nsrllookup, Automater.py, vt, virustotal-search.py
- Files: yara, scalpel, bulk_extractor, ioc_writer
- Other: dexray, viper, time-decode.py
Other Analysis Tasks
- Memory Forensics: vol.py, vol3, linux_mem_diff.py, aeskeyfind, rsakeyfind, bulk_extractor
- File Editing: wxHexEditor, scite, code, xpdf, convert
- File Extraction: 7z, unzip, unrar, cabextract
Use Docker Containers for Analysis
- Thug Honeyclient: remnux/thug
- JSDetox JavaScript Analysis: remnux/jsdetox
- Rekall Memory Forensics: remnux/recall
- RetDec Decompiler: remnux/retdec
- Radare2 Reversing Framework: remnux/radare2
- REMnux distro in a Container: remnux/remnux-distro
Los usuarios que deseen más detalles y una descripción general de los cambios "nuevos y emocionantes" en REMnux junto con los beneficios adicionales, pueden unirse a una transmisión por Internet gratuita el martes 28 de julio (10:30 EDT), para aprender todo de Lenny Zeltser.
No hay comentarios:
Publicar un comentario