REMnux - Reverse Engineering Malware - uma distribuio Linux baseada em Ubuntu.

Possui
muitas ferramentas para analisar cdigos maliciosos Windows e Linux. Estas ferramentas examinam
ameaas baseadas no navegador, tais como JavaScript ofuscado, documentos suspeitos entre
outros artefatos maliciosos. Os investigadores tambm podem usar a distro para interceptar o
trfego de rede suspeito em um laboratrio isolado a fim de realizar uma anlise comportamental do
cdigo malicioso (malware).
=> Download do REMnux Virtual Appliance
A maneira mais simples para obter a distribuio baixar o
arquivo (https://googledrive.com/host/0B6fULLT_NpxMQ1Rrb1drdW42SkE/remnux-6.0-ovapublic.ova) no formato OVA.
Certifique-se de baixar o arquivo OVA a partir do link fora deste website oficial REMnux e validar o
hash do arquivo SHA-256
C26BE9831CA414F5A4D908D793E0B8934470B3887C48CFE82F86943236968AE6. O arquivo tem
aproximadamente 2 GB de tamanho.
Voc necessitar de um software de virtualizao para importar o Virtual Appliance do REMnux, por
exemplo VirtualBox ou VMware. Estes podem ser baixados a partir dos seguintes endereos:
VirtualBox : https://www.virtualbox.org/wiki/Downloads
Vmware : http://www.vmware.com/br/products/fusion
==> Importao do Virtual Appliance REMnux
Para instrues passo-a-passo do processo de importao veja os seguintes screenshots.

Observe que basta carregar o arquivo OVA em seu software de virtualizao. Se voc tentar extrair
o contedo do arquivo OVA manualmente e tentar importar o arquivo OVF embutido no VirtualBox,
voc provavelmente encontrar erros, como could not verify the content of REMnux.mf against the
available files, unsupported digest type.
Para importar para o QEMU , extraia o contedo do arquivo OVA por meio do seguinte comando
tar xvf remnux-6.0-ova-public.ova
qemu-img convert -O qcow2 REMnuxV6-disk1.vmdk remnux.qcow2
Em todos os casos, uma vez que voc inicializar a mquina virtual, ela automaticamente iniciar a
sesso no sistema utilizando o usurio chamado "remnux". A senha do usurio "malware"; talvez
seja necessrio especific-lo ao executar operaes privilegiadas, como exemplo: sudo.
Aps o boot para o dispositivo virtual, execute o comando update-remnux no REMnux para atualizar
seu sistema operacional. Isto ir beneficiar quaisquer melhorias introduzidas aps a sua instalao
da distribuio (conectividade com a Internet necessria).
=> Instalao do REMnux em um sistema existente
Como alternativa, voc pode executar um script de instalao do REMnux em um sistema
operacioanl Ubuntu 14.04 de 64 bits existente. Isso permite que voc instale o REMnux em um host
fsico ou uma mquina virtual pr-existente. Voc pode usar esse mtodo para adicionar software e
as configuraes REMnux. Usurios da distribuio SIFT Workstation podem utilizar desta
abordagem para combinar as ferramentas do SIFT com do REMnux em um nico sistema.
Caso opte por construir um sistema REMnux a partir do zero, usea ISO mnima do Ubuntu 14.04 64
bits como ponto de partida. Utilize pelo menos 1 GB de memria RAM e um disco de 25 GB.
Considere a criao do usurio chamado "remnux" com senha "malware" uma vez que nenhuma

outra credencial ir funcionar. Para obter instrues passo-a-passo, consulte os screenshots dos
passos de instalao do Ubuntu.

Depois de fazer login no sistema recm-construdo ou existente compatvel com REMnux, execute o
seguinte comando para instalar a distribuio REMnux:
wget --quiet -O - https://remnux.org/get-remnux.sh | sudo bash
Este script de instalao ir configurar seu sistema e baixar/instalar o software necessrio
(conectividade com a Internet necessria). Em alguns casos ao executar o script de instalao
dentro de mquinas virtuais alguns antivrus instalados podem sinalizar que alguns pacotes REMnux
sejam malicioso, assim bloqueando o download destes. Este um alarme falso. No entanto, se voc
se deparar com esta situao, talvez seja necessrio desativar o antivrus da mquina durante a
execuo do script ou adicionar em uma whitelist os arquivos ofensivos ou URLs para evitar que
sejam bloqueados.
=> Ligao do Virtual Appliance REMnux Internet
O appliance virtual REMnux inicialmente configurado no modo "NAT", para que ele possa se
conectar Internet atravs do host no qual ele est sendo executado. Desta forma, se o seu host
subjacente tem conectividade com a Internet, o REMnux deve ser capaz de acessar a Internet
tambm. Voc pode isolar REMnux dentro de seu laboratrio, configurando o appliance virtual para
usar uma rede "host only". Depois de ligar a redes, execute o comando renew-dhcp no REMnux
para atualizar suas configuraes de rede.
Algumas das ferramentas REMnux so projetados para funcionar em um ambiente de laboratrio
isolado, para que possa realizar a anlise comportamental do software malicioso em execuo no
laboratrio. Neste caso, configure o REMnux para usar uma rede virtual sem conexo Internet.
Outras ferramentas so projetadas para permitir que voc explore sites suspeitos e interaja com
recursos on-line; o REMnux ter que ter conectividade Internet para executar estas tarefas.
=> Instalando ferramentas de virtualizao na distribuio REMnux
Ao executar o REMnux em uma plataforma VMware, geralmente uma boa idia instalar o VMware
Tools dentro da mquina virtual. Isso permitir que a resoluo da tela do REMnux se ajuste
automaticamente de acordo com seu monitor. Ele tambm ir fornecer algumas melhorias
adicionais, tais como a oportunidade de compartilhar o contedo da rea de transferncia entre o
anfitrio subjacente e a mquina virtual.
Ao executar o REMnux no VMware Workstation, Player ou ESX, a maneira mais simples de instalar
o VMware Tools usando o pacote de ferramentas de VM aberta, executar o seguinte comando
(conectividade com a Internet necessria):
sudo apt-get install open-vm-tools-desktop

No VMware Fusion, a melhor abordagem instalar o VMware Tools. Para fazer isso, ative o
VMware Tools instalao via Virtual Machine> Install VMware Tools e, em seguida, execute o
comando sudo install-vmware-tools.
Por favor, note que se voc quiser usar o recurso de pastas compartilhadas do VMware, voc
precisar instalar o VMware Tools e talvez realizar alguns ajustes devido a problemas de
compatibilidade entre o VMware Tools e o kernel Linux Ubuntu fornecido. Essas etapas so
descritas em um artigo dedicado a este tema.
A opo mais prtica para transferncia de arquivos dentro e fora de REMnux por meio de SFTP
atravs do servio SSH instalado (sshd start) ao invs de utilizar compartilhamento de pastas.
Se estiver usando VirtualBox, considere a instalao do software Adies Clientes. Para isso,
primeiro desligue a mquina virtual REMnux, em seguida, use os dispositivos de menu VirtualBox>
imagem de CD adies convidado Inserir e, em seguida, iniciar a VM. Monte o CD virtual que
contm software Adies Clientes como este e reinicialize a mquina virtual:
sudo mount /dev/sr0 /mnt/cdrom
sudo /mnt/cdrom/VboxLinuxAdditions.*
O guia completo desta distribuio pode ser encontrado em https://remnux.org/docs/distro/get/.