Olá Pessoal !!! Bem vindo ao site Ethical Hacker !!!
Neste pequeno artigo será descrito informações sobre o sistema operacional REMnux, uma distribuição Linux para engenharia reversa de Malware.
A distribuição REMnux auxilia os analistas de malware, através de engenharia reversa de software malicioso. A mesma é baseada no sistema operacional Ubuntu.
O REMnux incorpora uma série de ferramentas para analisar executáveis maliciosos que são executados no sistema Microsoft Windows, bem como malware baseado em navegador, como programas Flash e JavaScript ofuscado. Este conjunto de ferramentas inclui programas populares na análise de documentos maliciosos, tais como arquivos PDF, e utilitários para engenharia reversa de malware, através de memória forense.
O REMnux também pode ser utilizado para emular serviços de rede dentro de um ambiente de laboratório isolado quando da realização de análise de malwares comportamental. Como parte deste processo, o analista normalmente infecta um outro sistema de laboratório com a amostra de malware e redireciona as conexões para o sistema REMnux escutando nas portas apropriadas. REMnux incide sobre as mais diversas ferramentas práticas de análise de malware livremente disponíveis, que funcionam em Linux.
A distribuição REMnux pode ser baixada, através de uma imagem ISO, CD Live ou VM, afim de ser utilizada em ambientes virtuais utilizando VMware, VirtualBox, KVM ou Xen.
Link: http://sourceforge.net/projects/remnux/files/version5/
O appliance virtual REMnux está configurado para usar a rede “host only”, isolando a instância REMnux da rede física. Para conectar REMnux à rede, por exemplo, para fornecer-lhe acesso à Internet, deve-se alterar as configurações do dispositivo virtual para a rede apropriada, como “NAT” e depois aplicar o comando “renew-dhcp” no REMnux.
Descrição das ferramentas de análise de malware configurado no REMnux.
Para obter mais detalhes, incluindo a descrição de cada ferramenta, pode-se verificar o mapa mental REMnux v5,através de uma planilha PDF.
Link: http://zeltser.com/remnux/remnux-v5-tools.pdf
O sistema operacional REMnux inclui numerosas ferramentas gratuitas úteis para examinar o software malicioso. Estes utilitários são criados e testados para tornar mais fácil a realização de tarefas de análise de malware sem a necessidade de descobrir como instalar eles. A maioria destas ferramentas estão listadas abaixo:
Examinar navegadores malware.
Website analysis: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Firefox, Burp Proxy Free Edition, Automater, pdnstool, Malzilla, Tor
Flash: xxxswf, SWF Tools, RABCDAsm, extract_swf
Java: Java Cache IDX Parser, Java Decompiler
JavaScript: Rhino Debugger, JSDetox, ExtractScripts, Firebug
JavaScript Deobfuscator, SpiderMonkey, V8, JS Beautifier.
Examinar arquivos de documentos
PDF: AnalyzePDF, JSDetox, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk.
Microsoft Office: officeparser, OfficeMalScanner
Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this
Extrair e decodificar artefatos.
Deobfuscate: unXOR, XORStrings, ex_pe_xor, XORSearch, brutexor/iheartxor, xortool, NoMoreXOR, XORBruteForcer, Balbuzard
Extract strings: strdeobj, pestr, strings
Carving: Foremost, Scalpel, bulk_extractor, Hachoir
Lidar com interações de rede
Sniffing: Wireshark, ngrep, TCPDump, tcpick
Services: FakeDNS, Tiny HTTPd, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH
Miscellaneous network: prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel
Exemplos de processos multíplos.
Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout
Examinar propriedades de conteúdos de arquivos.
Define signatures: YaraGenerator, Yara Editor, IOCextractor, Autorule
Scan: Yara, ClamAV, TrID, ExifTool
Hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep
Investigar malware Linux.
System: Sysdig, Unhide
Disassemble: Vivisect, Udis86, objdump
Debug: Evan’s Debugger (EDB), GNU Project Debugger (GDB)
Trace: strace, ltrace
Investigate: Radare 2, Pyew, Bokken
Editar e visualizar arquivos.
Text: SciTE
Images: feh, ImageMagick
Binary: wxHexEditor, VBinDiff
Documents: Xpdf, XMind
Examinar snapshots de memorias.
Volatility Framework, TotalRecall, findaes, AESKeyFinder, RSAKeyFinder
Examinar arquivos estáticos PE
Unpacking: UPX, Bytehist, Density Scout, PackerID
Disassemble: objdump, Udis86, Vivisect
Find anomalies: Signsrch pescanner, ExeScan, pev, Peframe
Investigate: Bokken, RATDecoders, Pyew
Outras Tarefas.
ProcDOT, bashhacks, Androwarn
Instalação de ferramentas adicionais.
Metasploit: Metasploit não está instalado no REMnux, no entanto pode-se instala-lo mediante sua necessidade.
WIPSTER: Você pode instalar facilmente o WIPSTER no REMnux, através do comando “/usr/local/sbin/install-wipster”.
O sistemas REMnux é de autoria de Lenny Zeltser. Lenny é um líder de negócios e tecnologia com ampla experiência em tecnologia da informação e segurança. Suas áreas de especialização incluem resposta a incidentes, serviços de nuvem e gerenciamento de produtos. Lenny se concentra em proteger as operações de TI dos clientes da NCR Corporation. Ele também ensina forense digital e cursos anti-malware no Instituto SANS. Lenny fala frequentemente em conferências, escreve artigos e tem livros em co-autoria. Ele ganhou a designação GIAC Especialista em Segurança de alto prestígio, tem um MBA pela MIT Sloan e um grau de Ciência da Computação pela Universidade de Pennsylvania.
Um grande abraço a todos !!!
