jueves, 3 de septiembre de 2015

REMnux V6. Una suite para el análisis de malware

Como todos sabemos siempre es importante mantenerse actualizado con todas las nuevas herramientas que van surgiendo con el tiempo. Por ello, el día de hoy veremos la nueva versión de la suite REMnux, que nos será de gran ayuda en esta lucha diaria contra el malware, que a priori, parace interminable. 


REMnux es una distribución de linux con un objetivo muy concreto, su propósito es ofrecer una suite de aplicaciones para ayudar a los analistas en el estudio de códigos maliciosos. Incluye herramientas para el examen de documentos sospechosos, como archivos con extensión PDF, o documentos de Microsoft Office. Se recomienda para el análisis estático de ejecutables maliciosos y páginas web.

Está basado en Ubuntu 14.04 LTS, por lo que se destaca por su facilidad a la hora de su instalación y manejo. Por este motivo y por la gran cantidad de herramientas que nos ofrece, es ampliamente utilizado por toda la comunidad, desde analistas independientes y principiantes, hasta profesionales como muchas horas de trabajo a la espalda.

Instalación

Vamos a ver lo fácil que resulta instalar este sistema, en primer lugar debemos descargarlo, para ello podemos hacerlo directamente desde sus repositorios oficiales.

Una vez descargado tendremos un archivo con extensión OVA(Open Virtualization Format), con un tamaño de 1,98Gb. Para comenzar con la instalación utilizaremos algún software de virtualización como VirtualBox o VM Ware, tal como se puede ver en la siguiente captura:



En el momento de arrancar la máquina virtual podrás ver que está configurada en Inglés, pero si quieres cambiar el idioma puedes actualizarlo ingresando en la opción "preferences/keyboard Input methods" y desde aquí puedes agregar el idioma que desees.




De esta manera ya tendrás instalada la máquina virtual, un poco más adelante veremos como podemos actualizarla cada vez que haya una nueva distribución disponible que corrija fallos y mejore su funcionamiento.

En cambio si tienes instalada la versión de Ubuntu 14.04 con arquitectura de 64 bits, puedes utilizarla descargando directamente la herramienta de REMnux , para descargarla solo tenemos que introducir el siguiente comando en una terminal:

usuario:~$ wget –quiet -O – https://remnux.org/get-remnux.sh | sudo bash

El script tardará un rato en descargarse e instalar las aplicaciones, pero si tenemos un ancho de banda adecuado serán unos 45 minutos aproximadamente.


Conectándose a internet desde REMnux

Como la configuración que trae por defecto es a través de NAT, la máquina anfitriona compartirá inmediatamente la conexión con el entorno virtualizado. Sin embargo en algunos casos nos convendrá utilizar otro tipo de topologías y poner  un sistema de análisis como "host-only", así el tráfico no tendrá salida hacia fuera y solo nos podremos comunicar en redes internas.

De esta manera nos podremos colocar en medio de algunas comunicaciones, como por ejemplo entre el panel de control de un código malicioso y la máquina infectada, lo que nos será muy útil para poder interpretar comandos enviados por el atacante al equipo víctima.


Actualizando los últimos detalles

Para actualizar el sistema solo tienes que ejecutar el siguiente comando en la terminal:

remnux@remnux:~$ update-remnux

El proceso tardará unos minutos y como puedes ver en la siguiente imagen, te indicará el estado de la actualización:



De esta manera, habrás actualizado el sistema, corrigiendo algunos fallos, agregando nuevas funcionalidad y mejorando su rendimiento.

Al finalizar la actualización del sistema se te mostrará el siguiente mensaje:





Mejoras de la versión 6


  • pedump, readpe.py: se utiliza para realizar un análisis estático de archivos ejecutables en plataformas de Microsoft Windows
  • VirusTotal: interactúa con la base de datos VirusTotal desde la línea de comandos
  • Nginx: servidor web que sustituye a Tiny, presente en la versión anterior
  • VolDiff: compara imágenes forenses de memoria
  • Rekall: herramienta forense para el análisis de memorias
  • Reglas Yara: firmas para detectar características maliciosas en archivos
  • Plugins OfficeDissector MASTÍN: para examinar los archivos basados en XML de Microsoft Office.
  • Docker: ejecuta aplicaciones de manera aislada en el host local
  • AndroGuard: analiza aplicaciones Android sospechosas
  • vtTool: determina el nombre de la familia de malware de la muestra mediante una consulta a VirusTotal
  • oletools , libolecf: analiza los archivos de Microsoft Office OLE2
  • flujo TCP: examina el tráfico de red y archivos de captura PCAP
  • py: realiza búsquedas de DNS pasivos utilizando la biblioteca PDNS
  • CapTipper: examina el tráfico de red y archivos de captura PCAP
  • oledump: examina los archivos de Microsoft Office sospechosos
  • CFR: descompila archivos de Java sospechosos
  • Decompyle ++: decompila Python

REMnux v6 también incluye las siguientes bibliotecas, con el fin de que los desarolladores de software puedan usarla para la construcción de nuevas herramientas de análisis de malware.

  • Escritor COI: biblioteca de Python para la creación y edición de objetos OpenIOC
  • Cybox: biblioteca de Python para analizar, manipular y generar contenido CybOX
  • diStorm3, Capstone: bibliotecas de Python para desmontar archivos binarios
  • Yara Biblioteca: Biblioteca de Python para identificar y clasificar muestras de malware
  • olefile: biblioteca de Python para leer/escribir archivos de Microsoft Office OLE2
  • PyV8: biblioteca de Python para motor de JavaScript
  • OfficeDissector: biblioteca de Python de archivos de Microsoft Office sospechosos, basados en XML
  • PDNS: biblioteca de Python para realizar búsquedas DNS pasivos
  • Javassist: biblioteca de Java que ayuda con el examen de código de bytes de Java
Una de las cosas que podrás ver al iniciar el equipo es su Cheat Sheet, en el cuál podrás ver una lista de trucos de la mayoría de las aplicaciones y de como utilizarlas.

No hay comentarios:

Publicar un comentario