REMnux

REMnux er et open source Ubuntu-baserede distribution af Linux specielt designet til malware analytikere, der er på udkig efter et gratis alternativ operativsystem til Microsoft Windows, i orden for dem at reverse-engineering skadelig software.

De vigtigste funktioner omfatter muligheden for at undersøge webbrowser malware, styring af netværk interaktioner, afkode og ekstrakt artefakter, undersøge dokumentfiler, undersøge Linux-malware, statisk undersøge PE filer, undersøge filens egenskaber og indhold, proces flere prøver, undersøger hukommelse snapshots samt at redigere og se en lang række filer.

Operativsystemet kan downloades som en enkelt live DVD ISO image, der understøtter både 32-bit og 64-bit hardware-platforme, og skal skrives på DVD-diske eller USB-flashdrev i 2GB eller højere kapacitet for at starte det fra BIOS på en PC, samt et virtuelt apparat arkiv (OVA) for VirtualBox og VMware virtualiseringssoftware.

Den er udstyret med en standard boot-loader, der kan findes på en lang række Linux-distributioner baseret på Ubuntu, så brugeren kan starte levende miljø med standardindstillingerne eller i fejlsikret grafiktilstand ved at tvinge VESA framebuffer, udføre en systemhukommelse (RAM) test, og starte et eksisterende operativsystem fra den første disk.

Som standard er Live CD manipuleret til at åbne en terminal emulator fra get-go. Det bruger Letvægts X11 Desktop Environment (LXDE) med en mørk kunstværker og et enkelt panel placeret på den nederste kant af skærmen, hvorfra brugeren kan få adgang til de programmer eller interagere med kørende programmer.

Blandt de forudinstallerede apps, kan vi nævne SciTE teksteditor, wxHexEditor hex editor, Wireshark netværksscanner, XMind mindmapping værktøj, SQLite database browser Mozilla Firefox browser, og LXMusic musikafspiller.

Opsummering, REMnux er bestemt ikke en Linux-distribution til regelmæssig bruger. Den er baseret på en ældre, ikke-understøttet version af Ubuntu (11.10 - oneiric Ocelot)., Men leverer en pæn samling af andre nyttige funktioner, der vil hjælpe malware analytikere til at reverse engineering skadelig software

Hvad er nyt i denne udgivelse:

• Jeg er spændt på at annoncere v6 frigivelsen af ​​REMnux distro, som hjælper analytikere undersøger malware ved hjælp af gratis værktøjer i et Linux-miljø. REMnux v6 opdaterer de værktøjer, der var til stede i de tidligere revisioner af distro og indfører flere nye. Desuden implementerer store arkitektoniske ændringer bag kulisserne for at tillade REMnux brugerne nemt anvende fremtidige opdateringer uden at skulle downloade den fulde REMnux miljø fra bunden.
• Hent REMnux v6:
• Den enkleste måde at få den nyeste REMnux fordelingen er at hente sin virtuelle apparat OVA-fil, derefter importere den i din foretrukne virtualisering program som VMware Workstation og VirtualBox. Efter start den importerede virtuelle maskine, køre & quot; update-remnux fuld & quot; kommando til at opdatere sin software. For detaljerede instruktioner, se REMnux installationsvejledningen.
• Alternativt kan du tilføje den REMnux distro til en eksisterende fysisk eller virtuelt system, der kører en kompatibel version af Ubuntu, herunder SIFT Workstation. Du kan opnå dette ved at køre REMnux installationsscriptet som forklaret i dokumentationen.
• Efter installation REMnux v6, vil du være i stand til at hente opdateringer ved at køre & quot; update-remnux & quot; kommandoen. Følg REMnux konti på Twitter, Facebook og Google Plus for at modtage meddelelser, når dens malware analysepakker opdateres, eller når nye føjes til toolkit.
• Værktøjer Tilføjet til REMnux v6:
• REMnux v6 indeholder følgende værktøjer der ikke har været en del af distributionen i tidligere udgivelser.
• pedump, readpe.py: Statisk undersøge egenskaberne for en Windows PE fil
• VirusTotal-værktøjer: Interagere med VirusTotal databasen fra kommandolinjen
• Nginx: webserver, som erstatter Tiny HTTPD, der var til stede på REMnux tidligere
• VolDiff: Sammenligne memory forensics billeder til at spotte ændringer ved hjælp Volatilitet
• Regel Redaktør: Rediger IOC Yara, Snort og OpenIOC regler, der erstatter sin forløber Yara Editor
• Rekall: Memory forensics værktøj og ramme
• m2elf: Opret en ELF binær fil ud af shellcode
• Yara Regler: Underskrifter for at spotte ondsindede egenskaber i filer
• OfficeDissector MASTIFF plugins: Undersøg Microsoft Office XML-baserede filer ved hjælp MASTIFF
• Docker: køre applikationer som isolerede containere på den lokale vært
• AndroGuard: Analyser mistænkelige Android-applikationer
• vtTool: Bestem prøvens malware familie navn ved at forespørge VirusTotal
• oletools, libolecf: Analyser Microsoft Office OLE2 filer
• tcpflow: Undersøg netværkstrafik og skære PCAP capture filer
• passive.py: Udfør passive DNS-opslag ved hjælp af PDNS biblioteket
• CapTipper: Undersøg netværkstrafik og skære PCAP capture filer
• oledump: Undersøg mistænkelige Microsoft Office-filer
• CFR: Dekompilere mistænkelige Java class filer
• update-remnux: Opdater distro, opgradering sin software og installere nyligt tilføjede værktøjer
• REMnux v6 omfatter også følgende biblioteker, som software-udviklere kan bruge til at bygge nye malware analyseværktøjer og opgaver.
• IOC Writer: Python bibliotek til at oprette og redigere OpenIOC objekter
• Cybox: Python bibliotek for parsing, manipulere, og generering CybOX indhold
• diStorm3, Capstone: Python biblioteker til demontering binære filer
• pylibemu: Python bibliotek for at få adgang til libemu shellcode emulering funktionalitet
• Yara Library: Python biblioteket for at identificere og klassificere malware prøver
• olefile: Python bibliotek til at læse / skrive Microsoft Office OLE2 filer
• PyV8: Python wrapper bibliotek for V8 JavaScript-motor
• pyssdeep: Python wrapper bibliotek for ssdeep fuzzy hashing værktøj
• pyexiftool: Python wrapper bibliotek for ExifTool
• OfficeDissector: Python biblioteket til mistænkelige Microsoft Office XML-baserede filer
• PDNS: Python bibliotek til at udføre passive DNS-opslag
• Javassist: Java bibliotek, der hjælper med at undersøge Java-bytecode
• For en liste over de malware analyse hjælpeprogrammer til rådighed på REMnux, se dens dokumentation site, som indeholder et regneark og et mindmap af de værktøjer og tilbyder nogle tip.
• Opdateret REMnux Arkitektur:
• Et vigtigt mål for v6 frigivelse af REMnux, ud over opgradering og udvidelse af værktøj sæt, er at modernisere distro fundament og samtidig bevare det velkendte udseende. Folk fortrolige med de tidligere REMnux udgivelser bør være i stand til at bruge miljøet uden at skulle justere deres vaner. Vigtigst er det, kan REMnux v6 brugerne modtager fremtidige opdateringer til distro ved brug af & quot; update-remnux & quot; script uden at hente en helt ny virtuel maskine til at udføre opgraderinger.
• For at opnå disse mål, er REMnux v6 baseret på Ubuntu 14.04 64-bit. Det er en populær og stabil OS, der vil være omkring et stykke tid, fordi det er en Long Term Support (LTS) udgivelse. Også REMnux nu er stærkt afhængig Debian-pakker vært i sit arkiv til at lette bekvemme opdateringer.
• Som resultat, REMnux kan installeres på nye eller eksisterende system, der kører Ubuntu 14.04 64-bit, uanset om det er en fysisk eller virtuel maskine. Denne udgivelse er designet til at være kompatibel med SIFT Workstation, så folk kan installere begge distributioner på det samme system, hvis de ønsker.

Hvad er nyt i version 5,0:

• Key opdateringer til eksisterende værktøjer og komponenter:
• Core-system: Opgraderet de underliggende Ubuntu OS komponenter og pakker; øget standard RAM af den virtuelle apparatet til 512 MB; erstattet OpenJDK med Oracle Java 7 runtime.
• Hukommelse analyse:. Opdateret Volatilitet til version 2.2
• PDF-analyse: Opdateret pdfid og pdf-parser, Origami, peepdf
• webanalyse: Opdateret SWFTools, V8, libemu, NetworkMiner, Burp Proxy, Wireshark, Firefox og dens tilføjelser
.
• Andre ændringer: Opdateret xorsearch, DensityScout, Pyew, passiv-dns, ClamAV, capabilities.yara; erstattet FreeMind med XMind
• Nye værktøjer tilføjet til REMnux:
• Windows-værktøjer: Installeret Vin; Tilføjet OfficeMalScanner, Malzilla
• XOR analyse: Tilføjet NoMoreXOR, brutexor, XORBruteForcer
• PE fil analyse: Tilføjet pEV, DISM-det, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• Andet fil analyse: Tilføjet extract_swf.py, ExifTool, MASTIFF
• Andre tilføjelser: Tilføjet hack-funktioner (/ usr / local / hack-funktioner), bulk_extractor, ProcDot

Hvad er nyt i version 3.0:

• REMnux blev ombygget til at være baseret på Ubuntu 11.10 for at forbedre vedligeholdelsen , og samtidig opretholde bagudkompatibilitet, hvor det er praktisk muligt.
• skrivebordsmiljø på REMnux er blevet migreret til at bruge LXDE for forbedret brugervenlighed, samtidig med at den lette karakter af distributionen.
• malware analyseværktøjer til rådighed i den tidligere version af REMnux er blevet opgraderet til den seneste stabile versioner for at levere de nyeste funktioner og forbedringer. De væsentligste opdateringer omfatter:
• Volatilitet Framework 2.0 til memory forensics med de nyeste malware og timeliner moduler
• Origami Framework 1.2.3 til PDF analyse, herunder pdfcop, pdfextract, pdfwalker, pdfsh osv.
• REMnux indeholder flere malware analyseværktøjer, som ikke var til stede i tidligere versioner af distributionen, herunder:
• Netværk analyse: NetworkMiner, ngrep, pdnstool
• PDF-analyse: PDF X-Ray Lite (pdfxray_lite og swf_mastah), peepdf
• JavaScript-analyse: Chrome JavaScript-motor (d8), js-forskønne
• Undersøgelse filer: Hachoir (Hachoir-underfil, Hachoir-metadata, Hachoir-urwid), pyew, densityscout, findaes
• Andet: JD-GUI, xxxswf.py, FreeMind, xpdf, xortool