remnux

REMnux 6.0, un analizador de malware

Distribución, Linux, ,

Hoy ha salido una nueva versión de esta distro basada en Ubuntu, de origen estadounidense y cuyo fin es analizar malware mediante ingeniería inversa.

REMnux es un conjunto de herramientas en forma de distribución enfocadas a la ayuda en el análisis de malware usando ingeniería inversa. Se trata de una distro ligera que puede analizar malware tanto de Linux como de Windows, así como amenazas en el explorador web que puedan venir de JavaScript, documentos sospechosos y demás.

REMnux 6 básicamente viene con software actualizado y algunas herramientas nuevas como estas:

· predump, readpe.py: examina las propiedades de los archivos PE de Windows.
· virustotal-tools: se comunica con la base de datos VirusTotal desde la lína de comandos.
· Nginx: servidor web que ha reemplazado a HTTPD en esta versión.
· VolDiff: compara imágenes forenses de memoria para encontrar cambios a través de Volatility.
· Yara Rules: firmas para localizar funciones maliciosas en archivos.
· OfficeDissector MASTIFF: examina archivos de Microsoft Office basados en XML a través de MASTIFF.
· Docker: ejecuta aplicaciones en contenedores aislados en la máquina host.
· AndroGuard: analiza aplicaciones sospechosas para Android.
· vtTool: determina la familia de malware al que pertenece un archivo a través de la base de datos de VirusTotal.
· oletools: analiza archivos OLE2 de Microsoft Office.
· tcpflow: examina el tráfico de red hacia archivos de captura PCAP.
· oledump: examina archivos sospechosos para Microsoft Office.
· CFR: descompila archivos de clase Java sospechosos.

A parte de incluir estas nuevas herramientas, en REMnux 6 se han actualizado las anteriormente existentes manteniendo el aspecto físico inalterado. Ahora se usa Ubuntu 14.04 como base ya que tiene soporte extendido LTS.

REMnux está solo compilado para 64 bits y lo habitual es ejecutarla en una máquina virtual. De esa forma se evita contaminar el sistema host en caso de error. Además esta versión es compatible con SIFT Workstation (Investigative Forensic Toolkit), otra distribución con la misma funcionalidad de forma que se pueden instalar ambas en el mismo sistema.

Para conocer más de REMnux 6.0, puedes leer el anuncio de la versión. Además tienes una descripción completa en su web. La distro está disponible en imágenes OVA (Open Virtualization Format Archive).