Ingeniería inversa y análisis de malware con REMnux

Infectarse por malware es fácil. Basta con abrir un archivo sospechoso o visitar un sitio web malicioso para que el equipo se infecte. Por otro lado, el análisis y la ingeniería inversa de malware es una tarea muy difícil que sólo los expertos pueden realizar con herramientas especializadas. Si eres de los que sienten curiosidad por saber cómo funciona el malware, hay una distribución de Linux que viene con todas las herramientas necesarias para que analices el malware.

es una distribución ligera de Linux que le permite realizar análisis de malware, o incluso aplicar ingeniería inversa al malware para averiguar cómo funciona.

REMnux se utiliza mejor en un entorno aislado, como una máquina virtual o un Live CD, para que el malware no dañe a la máquina principal. Viene en el formato OVF/OVA donde puede importar fácilmente a su máquina virtual como VirtualBox o VMware. También hay una imagen ISO en la que puede grabar en un CD y arrancarlo en su ordenador.

REMnux está basado en Ubuntu y viene con escritorio LXDE, principalmente por su pequeño espacio de memoria. En la primera ejecución, es posible que no tenga idea de lo que REMnux es capaz de hacer y qué tipo de herramientas se incluyen. La comprobación del menú de la aplicación tampoco es útil, ya que la mayoría de las herramientas están basadas en la línea de comandos y no aparecen en el menú. Una buena manera de empezar es repasar los «REMnux Tips» en el escritorio. Esto le dará una visión general de lo que REMnux puede hacer y las instrucciones para llevar a cabo el análisis.

Ingeniería inversa y análisis de malware con REMnux

Cosas que REMnux puede hacer:

Analizar el malware de red

Hay varias herramientas relacionadas con la red en REMnux que le permiten escanear fácilmente la red en busca de actividades de malware. Wireshark es un analizador de protocolos de red y es perfecto para ver sus actividades de red a un nivel microscópico. Honeyd, stunnel y FakeDNS son útiles para crear contenedores virtuales que simulan un número infinito de redes informáticas y establecen el banco de pruebas perfecto para el análisis de malware.

Ingeniería inversa y análisis de malware con REMnux

Analizar un sitio web malicioso

El navegador Firefox en REMnux viene con muchas extensiones útiles preinstaladas para ayudarle a analizar sitios web maliciosos. Firebug, desobfuscador de javascript, datos de manipulación y conmutador de agentes de usuario son algunos de ellos que le facilitan la tarea de comprobar el funcionamiento de un sitio malicioso.

Ingeniería inversa y análisis de malware con REMnux

Analizar archivos maliciosos

Si tiene un archivo PDF o un documento de Microsoft Office que sospecha que está infectado, puede escanear los documentos con herramientas como PDF Walker, pyOLEScanner, etc. También está el PEScanner y el SCTest para escanear archivos ejecutables y código shell.

El Volatility Memory Forsenic Framework también está incluido en REMnux y puede darle una idea del estado del tiempo de ejecución del sistema. Puede detectar procesos ocultos, listar todos los procesos, mostrar una clave de registro o incluso encontrar y extraer malware.

Conclusión

Lo bueno de REMnux es que contiene la mayoría de las herramientas necesarias para analizar PDF, Flash, Javascript y otros programas maliciosos. Por supuesto, puedes instalar esas herramientas en tu distribución actual, pero eso requerirá mucho tiempo y configuración. Con REMnux, sólo tiene que arrancarlo y puede ejecutarlo de inmediato. Una cosa es que REMnux no es para todos. Prepárate para ensuciarte las manos, ya que la mayoría de las herramientas están basadas en la línea de comandos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *