Reverse Engineering und Analyse von Malware mit REMnux
Es ist einfach, sich mit Malware zu infizieren. Sie müssen nur eine verdächtige Datei öffnen oder eine schädliche Website besuchen, und schon ist Ihr Computer infiziert. Andererseits ist die Analyse und das Reverse Engineering von Malware eine sehr schwierige Aufgabe, die nur Experten mit speziellen Tools bewältigen können. Wenn Sie neugierig sind, wie Malware funktioniert, gibt es eine Linux-Distribution, die alle notwendigen Tools für die Analyse von Malware enthält.
REMnux ist eine leichtgewichtige Linux-Distribution, mit der Sie Malware-Analysen durchführen oder die Malware sogar zurückentwickeln können, um herauszufinden, wie sie funktioniert.
REMnux wird am besten in einer isolierten Umgebung wie einer virtuellen Maschine oder einer Live-CD verwendet, damit die Malware den Hauptcomputer nicht beschädigt. Es liegt im OVF/OVA-Format vor, das Sie problemlos in Ihre virtuelle Maschine wie VirtualBox oder VMware importieren können. Es gibt auch ein ISO-Image, das Sie auf eine CD brennen und auf Ihrem Computer starten können.
REMnux basiert auf Ubuntu und wird mit dem LXDE-Desktop geliefert, vor allem wegen seines geringen Speicherbedarfs. Beim ersten Durchlauf haben Sie möglicherweise keine Ahnung, wozu REMnux in der Lage ist und welche Art von Tools enthalten sind. Ein Blick in das Anwendungsmenü ist ebenfalls nicht hilfreich, da die meisten Tools befehlszeilenbasiert sind und nicht im Menü angezeigt werden. Ein guter Einstieg ist das Durchgehen der „REMnux-Tipps“ auf dem Desktop. Dadurch erhalten Sie einen Überblick über die Möglichkeiten von REMnux und die Anleitung zur Durchführung der Analyse.
Dinge, die REMnux tun kann:
Analysieren Sie Netzwerk-Malware
In REMnux gibt es mehrere netzwerkbezogene Tools, mit denen Sie das Netzwerk einfach auf Malware-Aktivitäten scannen können. Wireshark ist ein Netzwerkprotokollanalysator und eignet sich perfekt für die Betrachtung Ihrer Netzwerkaktivitäten auf mikroskopischer Ebene. Honeyd, Stunnel und FakeDNS eignen sich zum Erstellen virtueller Container, um eine unendliche Anzahl von Computernetzwerken zu simulieren und die perfekte Testumgebung für die Malware-Analyse einzurichten.
Analysieren Sie schädliche Websites
Im Firefox-Browser in REMnux sind viele nützliche Erweiterungen vorinstalliert, die Ihnen bei der Analyse bösartiger Websites helfen. Firebug, Javascript Deobfuscator, Tamper Data und User Agent Switcher sind einige davon, die es Ihnen erleichtern, die Funktionsweise einer bösartigen Website zu überprüfen.
Analysieren Sie schädliche Dateien
Wenn Sie eine PDF-Datei oder ein Microsoft Office-Dokument haben, von dem Sie vermuten, dass es infiziert ist, können Sie die Dokumente mit Tools wie PDF Walker, pyOLEScanner usw. scannen. Es gibt auch PEScanner und SCTest zum Scannen ausführbarer Dateien und Shellcode.
Der Volatility Memory Forsenic Framework ist ebenfalls in REMnux enthalten und kann Ihnen einen Einblick in den Laufzeitzustand des Systems geben. Es kann versteckte Prozesse erkennen, alle Prozesse auflisten, einen Registrierungsschlüssel anzeigen oder sogar Malware finden und extrahieren.
Abschluss
Das Gute an REMnux ist, dass es die meisten Tools enthält, die Sie zum Analysieren von PDF, Flash, Javascript und anderer Malware benötigen. Sie können diese Tools natürlich auf Ihrer aktuellen Distribution installieren, aber das erfordert viel Zeit und Konfiguration. Mit REMnux starten Sie es einfach und können es sofort ausführen. Allerdings ist REMnux nicht für jedermann geeignet. Seien Sie darauf vorbereitet, sich die Hände schmutzig zu machen, da die meisten Tools befehlszeilenbasiert sind.
Schreibe einen Kommentar