{"id":7651,"date":"2014-07-24T00:53:11","date_gmt":"2014-07-24T03:53:11","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=7651"},"modified":"2019-06-18T17:54:54","modified_gmt":"2019-06-18T20:54:54","slug":"remnux-engenharia-reversa-de-malware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2014\/07\/basico\/remnux-engenharia-reversa-de-malware\/","title":{"rendered":"REMnux – Engenharia Reversa de Malware"},"content":{"rendered":"

Ol\u00e1 Pessoal !!! Bem vindo ao site Ethical Hacker !!!<\/p>\n

Neste pequeno artigo ser\u00e1 descrito informa\u00e7\u00f5es sobre o sistema operacional REMnux, uma distribui\u00e7\u00e3o Linux para engenharia reversa de Malware.<\/p>\n

A distribui\u00e7\u00e3o REMnux auxilia os analistas de malware, atrav\u00e9s de engenharia reversa de software malicioso. A mesma \u00e9 baseada no sistema operacional Ubuntu.<\/p>\n

O REMnux incorpora uma s\u00e9rie de ferramentas para analisar execut\u00e1veis maliciosos que s\u00e3o executados no sistema Microsoft Windows, bem como malware baseado em navegador, como programas Flash e JavaScript ofuscado. Este conjunto de ferramentas inclui programas populares na an\u00e1lise de documentos maliciosos, tais como arquivos PDF, e utilit\u00e1rios para engenharia reversa de malware, atrav\u00e9s de mem\u00f3ria forense.<\/p>\n

O REMnux tamb\u00e9m pode ser utilizado para emular servi\u00e7os de rede dentro de um ambiente de laborat\u00f3rio isolado quando da realiza\u00e7\u00e3o de an\u00e1lise de malwares comportamental. Como parte deste processo, o analista normalmente infecta um outro sistema de laborat\u00f3rio com a amostra de malware e redireciona as conex\u00f5es para o sistema REMnux escutando nas portas apropriadas. REMnux incide sobre as mais diversas ferramentas pr\u00e1ticas de an\u00e1lise de malware livremente dispon\u00edveis, que funcionam em Linux.<\/p>\n

A distribui\u00e7\u00e3o REMnux pode ser baixada, atrav\u00e9s de uma imagem ISO, CD Live ou VM, afim de ser utilizada em ambientes virtuais utilizando VMware, VirtualBox, KVM ou Xen.<\/p>\n

\u00a0Link: http:\/\/sourceforge.net\/projects\/remnux\/files\/version5\/<\/p>\n

O appliance virtual REMnux est\u00e1 configurado para usar a rede “host only”, isolando a inst\u00e2ncia REMnux da rede f\u00edsica. Para conectar REMnux \u00e0 rede, por exemplo, para fornecer-lhe acesso \u00e0 Internet, deve-se alterar as configura\u00e7\u00f5es do dispositivo virtual para a rede apropriada, como “NAT” e depois aplicar o comando “renew-dhcp” no REMnux.<\/p>\n

\u00a0Descri\u00e7\u00e3o das ferramentas de an\u00e1lise de malware configurado no REMnux.<\/p>\n

\u00a0Para obter mais detalhes, incluindo a descri\u00e7\u00e3o de cada ferramenta, pode-se verificar o mapa mental REMnux v5,atrav\u00e9s de uma planilha PDF.<\/p>\n

\u00a0Link: http:\/\/zeltser.com\/remnux\/remnux-v5-tools.pdf<\/p>\n

O sistema operacional REMnux inclui numerosas ferramentas gratuitas \u00fateis para examinar o software malicioso. Estes utilit\u00e1rios s\u00e3o criados e testados para tornar mais f\u00e1cil a realiza\u00e7\u00e3o de \u00a0tarefas de an\u00e1lise de malware sem a necessidade de descobrir como instalar eles. A maioria destas ferramentas est\u00e3o listadas abaixo:<\/p>\n

Examinar navegadores malware.<\/p>\n

Website analysis: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Firefox, Burp Proxy Free Edition, Automater, pdnstool, Malzilla, Tor<\/p>\n

Flash: xxxswf, SWF Tools, RABCDAsm, extract_swf<\/p>\n

Java: Java Cache IDX Parser, Java Decompiler<\/p>\n

JavaScript: Rhino Debugger, JSDetox, ExtractScripts, Firebug<\/p>\n

JavaScript Deobfuscator, SpiderMonkey, V8, JS Beautifier.<\/p>\n

Examinar arquivos de documentos<\/p>\n

PDF: AnalyzePDF, JSDetox, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk.<\/p>\n

Microsoft Office: officeparser, OfficeMalScanner<\/p>\n

Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this<\/p>\n

Extrair\u00a0 e\u00a0 decodificar artefatos.<\/p>\n

Deobfuscate: unXOR, XORStrings, ex_pe_xor, XORSearch, brutexor\/iheartxor, xortool, NoMoreXOR, XORBruteForcer, Balbuzard<\/p>\n

Extract strings: strdeobj, pestr, strings<\/p>\n

Carving: Foremost, Scalpel, bulk_extractor, Hachoir<\/p>\n

Lidar com intera\u00e7\u00f5es de rede<\/p>\n

Sniffing: Wireshark, ngrep, TCPDump, tcpick<\/p>\n

Services: FakeDNS, Tiny HTTPd, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH<\/p>\n

Miscellaneous network: prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel<\/p>\n

Exemplos de processos mult\u00edplos.<\/p>\n

Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout<\/p>\n

Examinar propriedades de \u00a0conte\u00fados de\u00a0arquivos.<\/p>\n

Define signatures: YaraGenerator, Yara Editor, IOCextractor, Autorule<\/p>\n

Scan: Yara, ClamAV, TrID, ExifTool<\/p>\n

Hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep<\/p>\n

Investigar malware Linux.<\/p>\n

System: Sysdig, Unhide<\/p>\n

Disassemble: Vivisect, Udis86, objdump<\/p>\n

Debug: Evan’s Debugger (EDB), GNU Project Debugger (GDB)<\/p>\n

Trace: strace, ltrace<\/p>\n

Investigate: Radare 2, Pyew, Bokken<\/p>\n

Editar e \u00a0visualizar arquivos.<\/p>\n

Text: SciTE<\/p>\n

Images: feh, ImageMagick<\/p>\n

Binary: wxHexEditor, VBinDiff<\/p>\n

Documents: Xpdf, XMind<\/p>\n

Examinar snapshots de memorias.<\/p>\n

Volatility Framework, TotalRecall, findaes, AESKeyFinder, RSAKeyFinder<\/p>\n

Examinar arquivos est\u00e1ticos PE<\/p>\n

Unpacking: UPX, Bytehist, Density Scout, PackerID<\/p>\n

Disassemble: objdump, Udis86, Vivisect<\/p>\n

Find anomalies: Signsrch pescanner, ExeScan, pev, Peframe<\/p>\n

Investigate: Bokken, RATDecoders, Pyew<\/p>\n

Outras Tarefas.<\/p>\n

ProcDOT, bashhacks, Androwarn<\/p>\n

Instala\u00e7\u00e3o de ferramentas adicionais.<\/p>\n

Metasploit: Metasploit n\u00e3o est\u00e1 instalado no REMnux, no entanto pode-se instala-lo mediante sua necessidade.<\/p>\n

WIPSTER: Voc\u00ea pode instalar facilmente o WIPSTER no REMnux, atrav\u00e9s do comando “\/usr\/local\/sbin\/install-wipster”.<\/p>\n

O sistemas REMnux \u00e9 de autoria de Lenny Zeltser. Lenny \u00e9 um l\u00edder de neg\u00f3cios e tecnologia com ampla experi\u00eancia em tecnologia da informa\u00e7\u00e3o e seguran\u00e7a. Suas \u00e1reas de especializa\u00e7\u00e3o incluem resposta a incidentes, servi\u00e7os de nuvem e gerenciamento de produtos. Lenny se concentra em proteger as opera\u00e7\u00f5es de TI dos clientes da NCR Corporation. Ele tamb\u00e9m ensina forense digital e cursos anti-malware no Instituto SANS. Lenny fala frequentemente em confer\u00eancias, escreve artigos e tem livros em co-autoria. Ele ganhou a designa\u00e7\u00e3o GIAC Especialista em Seguran\u00e7a de alto prest\u00edgio, tem um MBA pela MIT Sloan e um grau de Ci\u00eancia da Computa\u00e7\u00e3o pela Universidade de Pennsylvania.<\/p>\n

Um grande abra\u00e7o a todos\u00a0 !!!<\/p>\n\r\n\t\t

\r\n\t\t\t
\r\n\t\t\t\t
\r\n\t\t\t\r\n\t\t\t
<\/div>\r\n\t\t<\/div> \r\n\t\t
\r\n\t\t\t

By:\u00a0Gerson Raymond<\/p>\n

T\u00e9cnico em Contabilidade, T\u00e9cnico em Eletr\u00f4nica, T\u00e9cnico em Telecomunica\u00e7\u00f5es, Bacharel em Ci\u00eancia da Computa\u00e7\u00e3o, Administrador de Redes Linux (CentOS, XEN, Zabbix, Asterisk\/Elastix) e P\u00f3s-Graduado em\u00a0Seguran\u00e7a em Tecnologia da Informa\u00e7\u00e3o \u2013 UNIVERSIDADE MACKENZIE \u2013 SP.<\/p>\n

Homepage:\u00a0http:\/\/www.grsecurity.com.br<\/p>\r\n\t\t<\/div> <\/p>\r\n\t\t\t<\/div> \r\n\t\t<\/div> \n","protected":false},"excerpt":{"rendered":"

Ol\u00e1 Pessoal !!! Bem vindo ao site Ethical Hacker !!! Neste pequeno artigo ser\u00e1 descrito informa\u00e7\u00f5es sobre o sistema operacional REMnux, uma distribui\u00e7\u00e3o Linux para engenharia reversa de Malware. A distribui\u00e7\u00e3o REMnux auxilia os analistas de malware, atrav\u00e9s de engenharia reversa de software malicioso. A mesma \u00e9 baseada no sistema operacional Ubuntu. O REMnux incorpora […]<\/p>\n","protected":false},"author":2,"featured_media":7676,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,101],"tags":[],"class_list":["post-7651","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-tutorial-backtrack"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7651","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=7651"}],"version-history":[{"count":20,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7651\/revisions"}],"predecessor-version":[{"id":7679,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7651\/revisions\/7679"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/7676"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=7651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=7651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=7651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}