REMnux – Engenharia Reversa de Malware

Olá Pessoal !!! Bem vindo ao site Ethical Hacker !!!

Neste pequeno artigo será descrito informações sobre o sistema operacional REMnux, uma distribuição Linux para engenharia reversa de Malware.

A distribuição REMnux auxilia os analistas de malware, através de engenharia reversa de software malicioso. A mesma é baseada no sistema operacional Ubuntu.

O REMnux incorpora uma série de ferramentas para analisar executáveis maliciosos que são executados no sistema Microsoft Windows, bem como malware baseado em navegador, como programas Flash e JavaScript ofuscado. Este conjunto de ferramentas inclui programas populares na análise de documentos maliciosos, tais como arquivos PDF, e utilitários para engenharia reversa de malware, através de memória forense.

O REMnux também pode ser utilizado para emular serviços de rede dentro de um ambiente de laboratório isolado quando da realização de análise de malwares comportamental. Como parte deste processo, o analista normalmente infecta um outro sistema de laboratório com a amostra de malware e redireciona as conexões para o sistema REMnux escutando nas portas apropriadas. REMnux incide sobre as mais diversas ferramentas práticas de análise de malware livremente disponíveis, que funcionam em Linux.

A distribuição REMnux pode ser baixada, através de uma imagem ISO, CD Live ou VM, afim de ser utilizada em ambientes virtuais utilizando VMware, VirtualBox, KVM ou Xen.

 Link: http://sourceforge.net/projects/remnux/files/version5/

O appliance virtual REMnux está configurado para usar a rede “host only”, isolando a instância REMnux da rede física. Para conectar REMnux à rede, por exemplo, para fornecer-lhe acesso à Internet, deve-se alterar as configurações do dispositivo virtual para a rede apropriada, como “NAT” e depois aplicar o comando “renew-dhcp” no REMnux.

 Descrição das ferramentas de análise de malware configurado no REMnux.

 Para obter mais detalhes, incluindo a descrição de cada ferramenta, pode-se verificar o mapa mental REMnux v5,através de uma planilha PDF.

 Link: http://zeltser.com/remnux/remnux-v5-tools.pdf

O sistema operacional REMnux inclui numerosas ferramentas gratuitas úteis para examinar o software malicioso. Estes utilitários são criados e testados para tornar mais fácil a realização de  tarefas de análise de malware sem a necessidade de descobrir como instalar eles. A maioria destas ferramentas estão listadas abaixo:

Examinar navegadores malware.

Website analysis: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Firefox, Burp Proxy Free Edition, Automater, pdnstool, Malzilla, Tor

Flash: xxxswf, SWF Tools, RABCDAsm, extract_swf

Java: Java Cache IDX Parser, Java Decompiler

JavaScript: Rhino Debugger, JSDetox, ExtractScripts, Firebug

JavaScript Deobfuscator, SpiderMonkey, V8, JS Beautifier.

Examinar arquivos de documentos

PDF: AnalyzePDF, JSDetox, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk.

Microsoft Office: officeparser, OfficeMalScanner

Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this

Extrair  e  decodificar artefatos.

Deobfuscate: unXOR, XORStrings, ex_pe_xor, XORSearch, brutexor/iheartxor, xortool, NoMoreXOR, XORBruteForcer, Balbuzard

Extract strings: strdeobj, pestr, strings

Carving: Foremost, Scalpel, bulk_extractor, Hachoir

Lidar com interações de rede

Sniffing: Wireshark, ngrep, TCPDump, tcpick

Services: FakeDNS, Tiny HTTPd, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH

Miscellaneous network: prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel

Exemplos de processos multíplos.

Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout

Examinar propriedades de  conteúdos de arquivos.

Define signatures: YaraGenerator, Yara Editor, IOCextractor, Autorule

Scan: Yara, ClamAV, TrID, ExifTool

Hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep

Investigar malware Linux.

System: Sysdig, Unhide

Disassemble: Vivisect, Udis86, objdump

Debug: Evan’s Debugger (EDB), GNU Project Debugger (GDB)

Trace: strace, ltrace

Investigate: Radare 2, Pyew, Bokken

Editar e  visualizar arquivos.

Text: SciTE

Images: feh, ImageMagick

Binary: wxHexEditor, VBinDiff

Documents: Xpdf, XMind

Examinar snapshots de memorias.

Volatility Framework, TotalRecall, findaes, AESKeyFinder, RSAKeyFinder

Examinar arquivos estáticos PE

Unpacking: UPX, Bytehist, Density Scout, PackerID

Disassemble: objdump, Udis86, Vivisect

Find anomalies: Signsrch pescanner, ExeScan, pev, Peframe

Investigate: Bokken, RATDecoders, Pyew

Outras Tarefas.

ProcDOT, bashhacks, Androwarn

Instalação de ferramentas adicionais.

Metasploit: Metasploit não está instalado no REMnux, no entanto pode-se instala-lo mediante sua necessidade.

WIPSTER: Você pode instalar facilmente o WIPSTER no REMnux, através do comando “/usr/local/sbin/install-wipster”.

O sistemas REMnux é de autoria de Lenny Zeltser. Lenny é um líder de negócios e tecnologia com ampla experiência em tecnologia da informação e segurança. Suas áreas de especialização incluem resposta a incidentes, serviços de nuvem e gerenciamento de produtos. Lenny se concentra em proteger as operações de TI dos clientes da NCR Corporation. Ele também ensina forense digital e cursos anti-malware no Instituto SANS. Lenny fala frequentemente em conferências, escreve artigos e tem livros em co-autoria. Ele ganhou a designação GIAC Especialista em Segurança de alto prestígio, tem um MBA pela MIT Sloan e um grau de Ciência da Computação pela Universidade de Pennsylvania.

Um grande abraço a todos  !!!

By: Gerson Raymond

Técnico em Contabilidade, Técnico em Eletrônica, Técnico em Telecomunicações, Bacharel em Ciência da Computação, Administrador de Redes Linux (CentOS, XEN, Zabbix, Asterisk/Elastix) e Pós-Graduado em Segurança em Tecnologia da Informação – UNIVERSIDADE MACKENZIE – SP.

Homepage: http://www.grsecurity.com.br