REMnux: especializada en en el análisis de malware

 REMnux, la distribución de Linux que se desarrolla especialmente para analizar malware. REMnux está basada en Ubuntu y contiene una variedad de herramientas para el análisis de archivos maliciosos, documentos y páginas Web. Además, la distribución de las distintas herramientas de análisis forense de memoria e ingeniería inversa de malware.

En la versión 6 de REMnux añade se han añadido varias herramientas anteriores que no eran parte de la distribución.

Herramientas añadidas en REMnux 6

• pedump, readpe.py: Statically examine properties of a Windows PE file
• virustotal-tools: Interact with the VirusTotal database from the command-line
• Nginx: Web server, which replaces Tiny HTTPD that was present on REMnux earlier
• VolDiff: Compare memory forensics images to spot changes using Volatility
• Rule Editor: Edit IOC Yara, Snort and OpenIOC rules, replacing its precursor Yara Editor
• Rekall: Memory forensics tool and framework
• m2elf: Create an ELF binary file out of shellcode
• Yara Rules: Signatures for spotting malicious characteristics in files
• OfficeDissector MASTIFF plugins: Examine Microsoft Office XML-based files using MASTIFF
• Docker: Run applications as isolated containers on the local host
• AndroGuard: Analyze suspicious Android applications
• vtTool: Determine the specimen’s malware family name by querying VirusTotal
• oletools, libolecf: Analyze Microsoft Office OLE2 files
• tcpflow: Examine network traffic and carve PCAP capture files
• passive.py: Perform passive DNS lookups using the pdns library
• CapTipper: Examine network traffic and carve PCAP capture files
• oledump: Examine suspicious Microsoft Office files
• CFR: Decompile suspicious Java class files
• update-remnux: Update the distro, upgrading its software and installing newly-added tools

Listado completo de todas las herramientas:

• https://remnux.org/docs/distro/tools/

Además, se han añadido bibliotecas varias para permitir a los desarrolladores de software para desarrollar nuevas herramientas de análisis de malware.

Examinar Malware

• Website analysis: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper
• Flash: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare
• Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR
• JavaScript: Rhino Debugger, ExtractScripts, Firebug, SpiderMonkey, V8, JS Beautifier

Examinar Documentos

• PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah
• Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump
• Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe

Extraer y desofucsar

• Deobfuscate: unXOR, XORStrings, ex_pe_xor, XORSearch, brutexor/iheartxor, xortool, NoMoreXOR, XORBruteForcer, Balbuzard
• Extract strings: strdeobj, pestr, strings
• Carving: Foremost, Scalpel, bulk_extractor, Hachoir

Manejar interacciones de Red

• Sniffing: Wireshark, ngrep, TCPDump, tcpick
• Services: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips
• Miscellaneous network: prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel

Procesar múltipes muestras

• Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout

Examinar propiedades de un fichero y sus contenidos

• Define signatures: YaraGenerator, IOCextractor, Autorule, Rule Editor
• Scan: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool
• Hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search

Investigar Malware

• System: Sysdig, Unhide
• Disassemble: Vivisect, Udis86, objdump
• Debug: Evan’s Debugger (EDB), GNU Project Debugger (GDB)
• Trace: strace, ltrace
• Investigate: Radare 2, Pyew, Bokken, m2elf

Editar y ver ficheros

• Text: SciTE, Geany, Vim
• Images: feh, ImageMagick
• Binary: wxHexEditor, VBinDiff
• Documents: Xpdf

Examinar instántenas de Memoria

• Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall

Examinar estáticamente Ficheros PE

• Unpacking: UPX, Bytehist, Density Scout, PackerID
• Disassemble: objdump, Udis86, Vivisect
• Find anomalies: Signsrch, pescanner, ExeScan, pev, Peframe, pedump
• Investigate: Bokken, RATDecoders, Pyew, readpe.py

InvestigarMalware en Smartphones

• Androwarn, AndroGuard

Otras tareas

• ProcDOT, bashhacks, Docker, vtTool, REMnux Updater

Instalar herramientas adicionales

• Metasploit is not installed on REMnux; however, you can install it yourself if the need arises.
• WIPSTER offers a web-based interface to several REMnux tools. You can easily install WIPSTER on REMnux by running the command install-wipster.

Librerías

• IOC Writer: Python library for creating and editing OpenIOC objects
• Cybox: Python library for parsing, manipulating, and generating CybOX content
• diStorm3, Capstone: Python libraries for disassembling binary files
• pylibemu: Python library for accessing libemu shellcode emulation functionality
• Yara Library: Python library to identify and classify malware samples
• olefile: Python library to read/write Microsoft Office OLE2 files
• PyV8: Python wrapper library for the V8 JavaScript engine
• pyssdeep: Python wrapper library for the ssdeep fuzzy hashing tool
• pyexiftool: Python wrapper library for the ExifTool
• OfficeDissector: Python library to suspicious Microsoft Office XML-based files
• pdns: Python library for performing passive DNS lookups
• Javassist: Java library that assists with examining Java bytecode

Bokken, interfaz gráfica (GUI) para Radare y pyew 

Otro ajuste significativo se utiliza versión de Ubuntu. REMnux utiliza como base REMnux v6 se basa en Ubuntu 14.04 de 64 bits. Es un popular y estable, OS Eso será por un tiempo, porque es un Long Term Support (LTS)

Descargar REMnux v6

 La manera más sencilla de conseguir la última distribución REMnux es descargar archivo OVA virtual,:

• http://sourceforge.net/projects/remnux/files/version6/remnux-6.0-ova-public.ova/download

entonces importarlo a su aplicación favorita de virtualización des, tales como VMware Workstation y VirtualBox. Después de iniciar la máquina virtual importada, ejecute el comando "update-remnux full" para actualizar el software icto. 

Alternativamente, usted puede agregar la distro REMnux a un sistema físico o virtual existente que se está ejecutando una versión compatible de Ubuntu, Incluyendo SIFT Workstation. Usted puede lograr esto mediante la ejecución del script de instalación REMnux como se explica en la documentación. 

Distribuciones con Herramientas para Análisis Forense 

 

 Entre algunas de estas distribuciones encontramos: 

• Helix 
• CAINE
• ForLEX
• EnCase
• DEFT Linux
• o incluso Kali Linux.