Omvendt ingeniør og analysere skadelig programvare med REMnux
Å bli smittet av skadelig programvare er enkelt. Du må bare åpne en mistenkelig fil, eller besøke et skadelig nettsted, og boom, datamaskinen er infisert. På den annen side er analyse og omvendt malware en svært vanskelig oppgave som kun eksperter kan gjøre med spesialiserte verktøy. Hvis du er en av de som er nysgjerrige på hvordan skadelig programvare fungerer, er det en Linux distro som kommer med alle nødvendige verktøy for å analysere skadelig programvare.
REMnux er en lett Linux-distribusjon som lar deg utføre malwareanalyse, eller til og med omforme malware for å finne ut hvordan det fungerer.
REMnux brukes best i et isolert miljø, for eksempel virtuell maskin eller Live CD, slik at skadelig programvare ikke vil skade hovedmaskinen. Den kommer i OVF / OVA-formatet der du enkelt kan importere inn i din virtuelle maskin som VirtualBox eller VMware. Det er også et ISO-bilde der du kan brenne inn i en CD og starte den på datamaskinen.
REMnux er basert på Ubuntu, og den kommer med LXDE-skrivebordet, hovedsakelig på grunn av det lille minnekortet. I første omgang kan du ikke ane hva REMnux er i stand til å gjøre, og hvilken type verktøy er inkludert. Det er ikke nyttig å sjekke ut programmenyen, da de fleste verktøyene er kommandolinjebaserte og ikke vises i menyen. En god måte å komme i gang er å gå gjennom "REMnux Tips" på skrivebordet. Dette gir deg en oversikt over hva REMnux kan gjøre og instruksjonene for å utføre analysen.
Ting som REMnux kan gjøre:
Analyser nettverksskadelig programvare
Det finnes flere nettverksrelaterte verktøy i REMnux som lar deg enkelt skanne nettverket for skadelig programvare. Wireshark er en nettverksprotokollanalysator, og den er perfekt for visning av nettverksaktiviteter på et mikroskopisk nivå. Honeyd, stunnel og FakeDNS er nyttige for å lage virtuelle beholdere for å simulere et uendelig antall datanettverk og sette den perfekte testbed for malwareanalyse.
Analyser ondsinnet nettsted
Firefox-nettleseren i REMnux kommer med mange nyttige utvidelser forhåndsinstallert for å hjelpe deg med å analysere skadelig nettside. Firebug, javascript deobfuscator, tamper data og bruker agent switcher er noen av dem som gjør det enkelt for deg å sjekke ut arbeidet med et ondsinnet nettsted.
Analyser ondsinnede filer
Hvis du har en PDF-fil eller et Microsoft Office-dokument som du mistenker var infisert, kan du skanne dokumentene med verktøy som PDF Walker, pyOLEScanner etc. Det er også PEScanner og SCTest for å skanne kjørbare filer og skriptkode.
Volatilitets Minne Forsenic Framework er også inkludert i REMnux og kan gi deg et innblikk i systemets kjøretidstilstand. Det kan oppdage skjulte prosesser, liste alle prosesser, vise en registernøkkel, eller til og med finne og pakke ut skadelig programvare.
Konklusjon
Det gode ved REMnux er at det inneholder de fleste verktøyene du trenger for å analysere PDF, Flash, Javascript og annen malware. Du kan selvfølgelig installere disse verktøyene på din nåværende distro, men det vil kreve mye tid og konfigurasjon. Med REMnux starter du bare den opp og du kan kjøre den med en gang. En ting skjønt, REMnux er ikke ment for alle. Vær forberedt på å få hendene skitne da de fleste verktøyene er kommandolinjebaserte.