Infectarse con malware es fácil. Solo tiene que abrir un archivo sospechoso, o visitar un sitio web malicioso, y boom, su computadora está infectada. Por otro lado, el análisis y la ingeniería inversa de malware es una tarea mucho más difícil que solo los expertos pueden hacer con herramientas especializadas. Si eres de los que sienten curiosidad por saber cómo funciona el malware, existe una distribución de Linux que viene con todas las herramientas necesarias para que analices el malware.
REMnux es una distribución ligera de Linux que le permite realizar análisis de malware, o incluso aplicar ingeniería inversa al malware para descubrir cómo funciona.
REMnux se usa mejor en un entorno aislado, como una máquina virtual o un Live CD, para que el malware no dañe la máquina principal. Viene en formato OVF/OVA donde puede importar fácilmente a su máquina virtual como VirtualBox o VMware. También hay una imagen ISO donde puede grabar en un CD y arrancarlo en su computadora.
REMnux está basado en Ubuntu y viene con el escritorio LXDE, principalmente debido a su pequeña huella de memoria. En la primera ejecución, es posible que no tenga idea de lo que REMnux es capaz de hacer y qué tipo de herramientas se incluyen. Revisar el menú de la aplicación tampoco es útil, ya que la mayoría de las herramientas están basadas en la línea de comandos y no aparecen en el menú. Una buena manera de comenzar es revisar los «Consejos de REMnux» en el escritorio. Esto le dará una visión general de lo que puede hacer REMnux y las instrucciones para llevar a cabo el análisis.
Cosas que REMnux puede hacer:
Analice el malware de la red
Hay varias herramientas relacionadas con la red en REMnux que le permiten escanear fácilmente la red en busca de actividades de malware. Wireshark es un analizador de protocolos de red y es perfecto para ver las actividades de su red a un nivel microscópico. Honeyd, stunnel y FakeDNS son útiles para crear contenedores virtuales para simular un número infinito de redes informáticas y establecer el banco de pruebas perfecto para el análisis de malware.
Analizar sitio web malicioso
El navegador Firefox en REMnux viene con muchas extensiones útiles preinstaladas para ayudarlo a analizar sitios web maliciosos. Firebug, javascript deoffuscator, tamper data y user agent switcher son algunos de ellos que le facilitan comprobar el funcionamiento de un sitio malicioso.
Analizar archivos maliciosos
Si tiene un archivo PDF o un documento de Microsoft Office que sospecha que está infectado, puede escanear los documentos con herramientas como PDF Walker, pyOLEScanner, etc. También existe PEScanner y SCTest para escanear archivos ejecutables y shellcode.
los Marco Forsenic de memoria de volatilidad también se incluye en REMnux y puede brindarle una idea del estado de tiempo de ejecución del sistema. Puede detectar procesos ocultos, enumerar todos los procesos, mostrar una clave de registro o incluso encontrar y extraer malware.
Conclusión
Lo bueno de REMnux es que contiene la mayoría de las herramientas que necesita para analizar PDF, Flash, Javascript y otro malware. Por supuesto, puede instalar esas herramientas en su distribución actual, pero eso requerirá mucho tiempo y configuración. Con REMnux, simplemente lo inicia y puede ejecutarlo de inmediato. Sin embargo, una cosa es que REMnux no está destinado a todos. Prepárese para ensuciarse las manos, ya que la mayoría de las herramientas se basan en la línea de comandos.