sábado, 9 de marzo de 2013

Distribución Linux - REMnux - Malware


REMnux es una distribución ligera de Linux cuyo objetivo es de ayudar a los analistas de malware en el software de ingeniería inversa malicioso. La distribución está basada en Ubuntu y es mantenido por Lenny Zeltser.


REMnux incorpora una serie de herramientas de análisis de software malicioso que se ejecuta en Microsoft Windows, así como el navegador basado en software malicioso, como programas Flash y Javascript ofuscado. El kit de herramientas incluye programas para el análisis de los documentos maliciosos , tales archivos PDF y utilidades para el malware de ingeniería inversa a través de análisis forense de memoria.
REMnux también se puede utilizar para emular servicios de red dentro de un entorno de laboratorio aislado al realizar el análisis de malware de comportamiento. Como parte de este proceso, el analista normalmente infecta a otro sistema de laboratorio con la muestra de malware y redirige las conexiones con el sistema REMnux escuchando en los puertos apropiados.


Download REMnux : http://sourceforge.net/projects/remnux/?source=dlp


Instalación - Uso de REMnux - Virtualización.


Antes de utilizar REMnux como un dispositivo virtual de VMware, es necesario descargar un producto de VMware, como VMware Player , VMware Workstation y VMware Fusion . Si utiliza VMware ESX Server, puede utilizar el convertidor de VMware vCenter herramienta para convertir el dispositivo virtual al formato de ESX.

A continuación, descargue el REMnux VMware Virtual Appliance archivo rar . Extraiga el contenido del archivo en un directorio específico utilizando una herramienta como " unrar ". Abra el archivo. Vmx con la herramienta de virtualización, como VMware Player. El aparato REMnux virtual debe comenzar en el seno de su producto VMware.


El aparato REMnux virtual está configurado para utilizar el "único huésped" de la red, aislando el ejemplo REMnux de la red física. Para conectar REMnux a la red, por ejemplo, para proporcionar acceso a Internet, cambia la configuración de la máquina virtual a la red apropiada, tal como "NAT". A continuación, reinicie el tema REMnux o "renovar-dhcp" de comandos.

Si utiliza VMware, tiene la opción de instalar las herramientas de VMware en REMnux para ajustar automáticamente el tamaño de la pantalla.




Si usted gusta puede utilizar otro software de virtualización, como VirtualBox , que es capaz de importar imágenes de máquina virtual VMware. Si se usa VirtualBox es posible que necesite convertir el aparato virtual de VMware al formato de VirtualBox . Como alternativa, puede crear una nueva máquina virtual con VirtualBox y apuntar al archivo de disco duro (. Vmdk) que es parte de la aplicación virtual REMnux.




Iniciar REMnux - Configuración


REMnux siempre inicia en una consola en modo solo texto. Para arrancar el ambiente X, una vez que ha ingresado el usuario y la password (remnux/malware) desde la consola tipee: “startx”. Ello lanzara X Window System.

REMnux utiliza el gestor de ventanas Enlightenment, Cuando Usted minimiza una ventana en Enlightenment, vera que “cae” en un recipiente pequeño, representado en un icono en la esquina inferior derecha de la pantalla. Para restaurar la ventana, solo basta con hacer un clic en ese icono que esta en el contenedor. Para cambiar la resolución de la pantalla REMnux en X, ejecute “xrandr”; y para ver la informacion sobre las diferentes resoluciones, ejecute “xrandr-s”. Para especificar directamente la resolución deseada, ejecute, por ejemplo, “xrandr-s 1024×768?.


Herramientas de REMnux



  • Para analizar malware Flash: swftools, flasm, flare
  • Para analizar IRC bots: IRC server (Inspire IRCd) y el cliente (Irssi).
  • Para lanzar el server IRC, tipear “ircd start”; para apagarlo “ircd stop”.
  • Para lanzar el cliente IRC, tipear “irc”.
  • Monitoreo de Red e interacciones: Wireshark, Honeyd, INetSim, fakedns y scripts fakesmtp, NetCat
  • JavaScript deobfuscation: Firefox con Firebug, NoScript y las extensiones JavaScript Deobfuscator, Rhino debugger, dos versiones del patcheado SpiderMonkey, Windows Script Decoder, Jsunpack-n
  • Interactuando con el malware en la web en el laboratorio: TinyHTTPd, Paros proxy
  • Analisis shellcode: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
  • Para trabajar esos executables protegidos: upx, packerid, bytehist, xorsearch, TRiD
  • Analisis de PDF maliciosos: Didier’s PDF tools, Origami framework, Jsunpack-n, pdftk
  • Memory forensics: Volatility Framework and malware-related plugins
  • Miscellaneous: unzip, strings, ssdeep, feh image viewer, SciTE text editor, OpenSSH server
  • Notas Sobre la ejecución de algunas herramientas y comandos REMnux
  • Para utilizar Honeyd, editar su archivo de configuración en /etc/honeypot/honeyd.conf usando “sudo scite /etc/honeypot/honeyd.conf”.
  • Para iniciar o lanzar Honeyd, tipear “farpd start” y “honeyd start”;
  • para apagarlo, correr “honeyd stop” y “farpd start”.
  • Para utilizar el «built-in» servidor web, estos son los comandos: para el lanzamiento “httpd start”, para el apagado “httpd stop”. Para proporcionar a los navegadores web en su laboratorio de los archivos de su elección, coloque los archivos en /var/www.
  • Para iniciar el servidor SSH, escriba “sshd start”; para apagarlo, tipo “sshd stop”.
  • REMnux está configurado para iniciar automáticamente el cliente DHCP. Para determinar qué dirección IP se asigna a la instancia de la máquina virtual REMnux, escriba “myip”.
  • Para reestablecer la configuración de red, escriba “restart-network”.
  • Para reiniciar el sistema REMnux, escriba “reboot”; para apagarlo, escriba “shutdown”.
  • El archivo ~remnux/.bash_aliases contiene varios “shortcuts” (o atajos) que sin duda le ahorraran bastante tiempo al llamar a las herramientas mas comunmente utilizadas y los comandos.
  • Para usar Volatility Framework, cambie al directorio donde éste se encuentra instalado, en: ~remnux/volatility.
  • Par usar Jsunpack-n, cambie al directorio donde está instalado: ~remnux/jsunpack-n. Antes de utilizar la herramienta para un nuevo experimento, ejecute “make clean” en su directorio para asi eliminar los archivos del experimento anterior.
  • Para instalar herramientas adicionales desde el repositorio de software de Ubuntu, use apt-get después de conectar su máquina virtual REMnux a Internet.

Creo que es momento de hacer correr el sistema.....^_^....Cabe resaltar que la instalación es muy similar a BaCkTraCk , Santoku, BugTraq ...etc.......Asi que nos vamos a saltar esos puntos para poder haber un poco mas breve el post.......^_^......Pues aqui voy a presentar algunas capturas de pantallla del REMunx..




Aqui podemos observar la distintas herramientas que posee REMnux.....Asi que creo que ya tenemos con que jugar por estos dias.....^_^..




En versiones anteriores de REMnux , esta no poseia NetworkMiner, pues en esta nueva version es una novedad..... aunque tiene algunas pequeñas dificultades.... =)

 Lenny utiliza esta funcionalidad para ejecutar NetworkMiner bajo mono en lugar de utilizar Wine, que creo que es una buena decisión ya que NetworkMiner integra mucho mejor con el sistema operativo cuando se ejecuta con mono.




Hay, sin embargo, una advertencia a tener en cuenta cuando se ejecuta bajo NetworkMiner REMnux, que o bien tienen que ejecutarlo como root (como en la imagen anterior) o agregar permisos de escritura en el directorio AssembledFiles con:




NetworkMiner de otra manera no será capaz de extraer los archivos de los archivos pcap analizados en el disco, ya que no tendrá derecho a escribir en la carpeta AssembledFiles.











Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)