REMnux

REMnux adalah distribusi open source berbasis Ubuntu Linux yang dirancang khusus untuk analis malware yang mencari sistem operasi alternatif gratis untuk Microsoft Windows, dalam rangka bagi mereka untuk reverse-engineering perangkat lunak berbahaya.

Fitur utama termasuk kemampuan untuk memeriksa malware browser web, manajemen interaksi jaringan, decode dan ekstrak artefak, memeriksa file dokumen, menyelidiki Linux malware, statis memeriksa file PE, memeriksa properti file dan isi, proses beberapa sampel, memeriksa snapshot memori , serta untuk mengedit dan melihat berbagai file.

Sistem operasi dapat didownload sebagai Live DVD image ISO tunggal yang mendukung 32-bit dan 64-bit platform perangkat keras dan harus ditulis pada disk DVD atau USB flash drive 2GB atau kapasitas yang lebih tinggi untuk melakukan boot dari BIOS dari PC, serta arsip alat virtual (OVA) untuk perangkat lunak virtualisasi VirtualBox dan VMware.

Ini fitur boot loader standar yang dapat ditemukan pada berbagai distribusi Linux berbasis Ubuntu, yang memungkinkan pengguna untuk memulai lingkungan hidup dengan pilihan default atau di safe mode grafis dengan memaksa framebuffer VESA, melakukan memori sistem (RAM) tes, dan boot sistem operasi yang ada dari disk pertama.

Secara default, Live CD direkayasa untuk membuka terminal emulator dari get-pergi. Ia menggunakan Lightweight X11 Desktop Environment (LXDE) dengan karya seni gelap dan satu panel yang terletak di tepi bawah layar, dari mana pengguna dapat mengakses aplikasi atau berinteraksi dengan program yang sedang berjalan.

Di antara aplikasi terinstal, kita bisa menyebut SciTE editor teks, wxHexEditor hex editor Wireshark jaringan scanner, XMind alat pemetaan pikiran, peramban SQLite database, web browser Mozilla Firefox, dan pemutar musik LXMusic.

Menyimpulkan, REMnux jelas bukan sebuah distribusi Linux untuk user biasa. Hal ini didasarkan pada yang lebih tua, versi tidak didukung dari Ubuntu (11.10 - Ocelot Oneiric)., Tetapi memberikan koleksi rapi fitur berguna lainnya yang akan membantu analis malware untuk membalikkan-insinyur perangkat lunak berbahaya

Apa yang baru dalam rilis ini:

• Aku senang untuk mengumumkan rilis v6 dari distro REMnux, yang membantu analis meneliti malware menggunakan utilitas gratis di lingkungan Linux. REMnux v6 update alat yang hadir dalam revisi sebelumnya distro dan memperkenalkan beberapa yang baru. Selain itu, menerapkan perubahan arsitektur besar di belakang layar untuk memungkinkan pengguna untuk dengan mudah menerapkan REMnux masa depan pembaruan tanpa harus mendownload lingkungan REMnux penuh dari awal.
• Dapatkan REMnux v6:
• Cara termudah untuk mendapatkan distribusi REMnux terbaru adalah untuk men-download file alat OVA virtual, kemudian impor ke aplikasi virtualisasi favorit Anda seperti VMware Workstation dan VirtualBox. Setelah memulai mesin virtual diimpor, menjalankan & quot;-pembaruan REMnux penuh & quot; perintah untuk memperbarui perangkat lunak. Untuk petunjuk rinci, lihat petunjuk instalasi REMnux.
• Atau, Anda dapat menambahkan distro REMnux ke sistem fisik atau virtual yang ada yang menjalankan versi yang kompatibel dari Ubuntu, termasuk SIFT Workstation. Anda dapat melakukannya dengan menjalankan skrip instalasi REMnux seperti yang dijelaskan dalam dokumentasi.
• Setelah menginstal REMnux v6, Anda akan bisa mendapatkan update dengan menjalankan & quot; update-REMnux & quot; perintah. Ikuti REMnux akun di Twitter, Facebook dan Google Plus menerima notifikasi ketika paket analisis malware yang diperbarui atau ketika yang baru ditambahkan ke toolkit.
• Alat Ditambahkan ke REMnux v6:
• REMnux v6 termasuk alat-alat berikut yang belum menjadi bagian dari distribusi di rilis sebelumnya.
• pedump, readpe.py: Statis memeriksa sifat dari file Windows PE
• VirusTotal-alat: Berinteraksi dengan database VirusTotal dari baris perintah
• Nginx: Web server, yang menggantikan HTTPD kecil yang hadir di REMnux sebelumnya
• VolDiff: Bandingkan forensik memori gambar untuk melihat perubahan menggunakan Volatilitas
• Peraturan Editor: Mengedit IOC Yara, Snort dan aturan OpenIOC, menggantikan prekursor Yara Editor
• Rekall: forensik Memory alat dan kerangka
• m2elf: Buat file biner ELF dari shellcode
• Yara Aturan: Signatures untuk bercak karakteristik berbahaya dalam file
• OfficeDissector Mastiff plugin: Periksa Microsoft Office file berbasis XML menggunakan Mastiff
• Docker: aplikasi Jalankan sebagai wadah terisolasi pada host lokal
• AndroGuard: Menganalisis aplikasi Android yang mencurigakan
• vtTool: Menentukan malware nama keluarga spesimen dengan query VirusTotal
• oletools, libolecf: Menganalisis file Microsoft Office OLE2
• tcpflow: Periksa lalu lintas jaringan dan mengukir file PCAP capture
• passive.py: Melakukan lookup DNS pasif menggunakan perpustakaan PDNs
• CapTipper: Periksa lalu lintas jaringan dan mengukir file PCAP capture
• oledump: Periksa mencurigakan file Microsoft Office
• CFR: mendekompilasi mencurigakan file kelas Java
• update-REMnux: Perbarui distro, upgrade software dan menginstal alat baru ditambahkan
• REMnux v6 juga termasuk library berikut, yang pengembang perangkat lunak dapat digunakan untuk membangun alat analisis malware baru dan tugas.
• IOC Penulis: Python perpustakaan untuk membuat dan mengedit objek OpenIOC
• Cybox: Python perpustakaan untuk parsing, memanipulasi, dan menghasilkan konten CybOX
• diStorm3, Capstone: Python perpustakaan untuk membongkar file biner
• pylibemu: Python perpustakaan untuk mengakses libemu fungsi emulasi shellcode
• Yara Perpustakaan: perpustakaan Python untuk mengidentifikasi dan mengklasifikasikan sampel malware
• olefile: perpustakaan Python untuk membaca / menulis file Microsoft Office OLE2
• PyV8: Python wrapper perpustakaan untuk mesin V8 JavaScript
• pyssdeep: Python wrapper perpustakaan untuk ssdeep alat hashing kabur
• pyexiftool: Python wrapper perpustakaan untuk ExifTool
• OfficeDissector: Python perpustakaan untuk mencurigakan Microsoft Office file berbasis XML
• PDNs: Python perpustakaan untuk melakukan pencarian DNS pasif
• Javassist: library Java yang membantu dengan memeriksa Java bytecode
• Untuk daftar utilitas analisis malware tersedia di REMnux, lihat situs dokumentasinya, yang mencakup spreadsheet dan peta pikiran alat dan menawarkan beberapa tips penggunaan.
• Diperbarui REMnux Arsitektur:
• Tujuan utama dari rilis v6 dari REMnux, melampaui upgrade dan memperluas set alat, adalah untuk memodernisasi yayasan distro sementara tetap mempertahankan tampilan akrab dan merasa. Orang yang akrab dengan rilis REMnux sebelumnya harus dapat menggunakan lingkungan tanpa harus menyesuaikan kebiasaan mereka. Yang paling penting, pengguna REMnux v6 dapat menerima update masa depan ke distro menggunakan & quot; update-REMnux & quot; Script tanpa men-download seluruh mesin virtual baru untuk melakukan upgrade.
• Untuk mencapai tujuan tersebut, REMnux v6 didasarkan pada Ubuntu 14.04 64-bit. Ini adalah OS populer dan stabil yang akan sekitar untuk sementara waktu, karena itu rilis Long Term Support (LTS). Juga, REMnux sekarang sangat bergantung pada paket Debian host di repositori untuk memfasilitasi update nyaman.
• Sebagai hasilnya, REMnux dapat diinstal pada sistem baru atau yang sudah ada menjalankan Ubuntu 14.04 64-bit, terlepas apakah itu mesin fisik atau virtual. Rilis ini dirancang agar kompatibel dengan SIFT Workstation, sehingga orang dapat menginstal kedua distribusi ke sistem yang sama, jika mereka menginginkannya.

Apa yang baru di versi 5.0:

• update Kunci alat yang ada dan komponen:
• sistem inti: Upgrade OS Ubuntu yang mendasari komponen dan paket; peningkatan RAM default alat virtual untuk 512MB; diganti dengan OpenJDK Oracle Java 7 runtime.
• analisis Memory:. Diperbarui Volatilitas ke versi 2.2
• PDF analisis: Diperbarui pdfid dan pdf-parser, Origami, peepdf
• analisis Web: Diperbarui SWFTools, V8, libemu, NetworkMiner, Burp Proxy, Wireshark, Firefox dan yang add-ons
.
• Perubahan lain: Diperbarui xorsearch, DensityScout, Pyew, pasif-dns, ClamAV, capabilities.yara; diganti dengan FreeMind XMind
• alat baru ditambahkan untuk REMnux:
• Windows alat: Terpasang Wine; tambah OfficeMalScanner, Malzilla
• analisis XOR: Ditambahkan NoMoreXOR, brutexor, XORBruteForcer
• analisis file PE: Ditambahkan PEV, dism-ini, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• analisis file lain: Ditambahkan extract_swf.py, ExifTool, Mastiff
• tambahan lain: Ditambahkan hack-fungsi (/ usr / local / hack-fungsi), bulk_extractor, ProcDot

Apa yang baru di versi 3.0:

• REMnux dibangun kembali harus didasarkan pada Ubuntu 11.10 untuk meningkatkan pemeliharaan , sambil mempertahankan kompatibilitas mundur dimanapun praktis.
• Lingkungan desktop pada REMnux telah bermigrasi menggunakan LXDE untuk meningkatkan kegunaan, sambil mempertahankan sifat ringan dari distribusi.
• Alat analisis malware yang tersedia dalam versi sebelumnya dari REMnux telah ditingkatkan ke versi stabil terbaru untuk memberikan fitur-fitur terbaru dan perbaikan. Update paling signifikan meliputi:
• Volatilitas Framework 2.0 untuk forensik memori dengan malware dan timeliner modul terbaru
• Origami Kerangka 1.2.3 untuk analisis PDF, termasuk pdfcop, pdfextract, pdfwalker, pdfsh, dll.
• REMnux mencakup beberapa alat analisis malware yang tidak hadir dalam versi sebelumnya dari distribusi, termasuk:
• Analisis Jaringan: NetworkMiner, ngrep, pdnstool
• Analisis PDF: PDF X-Ray Lite (pdfxray_lite dan swf_mastah), peepdf
• analisis JavaScript: mesin Chrome JavaScript (d8), js-mempercantik
• Meneliti file: Hachoir (Hachoir-subfile, Hachoir-metadata, Hachoir-urwid), pyew, densityscout, findaes
• Lain: jd-gui, xxxswf.py, freemind, xpdf, xortool