Entre uno de sus proyectos de investigación se encuentra el desarrollo de una distribución de GNU/Linux  basada en Ubuntu y enfocada al Análisis e Ingeniería Inversa de Malware.

REMnux se presenta entonces como un completo entorno de análisis de malware que puede ser incluido en nuestros laboratorios de investigación. Entre sus funcionalidades se encuentra la posibilidad de implementación de servicios en determinados puertos para simular el sistema que recibe algún tipo de instrucción o petición desde un equipo del laboratorio infectado.

Permite además realizar análisis de malware basado en aplicaciones web, como javascripts maliciosos, apps de java y películas en flash (animaciones maliciosas). También dispone de diferentes herramientas para el análisis en busca de documentos maliciosos como pueden ser los de Microsoft Office, OpenOffice y PDF’s. Algo que llama aun más la atención en la funcionalidad e realizar ejecuciones del malware en el propio REMnux y realizar volcados de memoria para su posterior análisis en el mismo sistema.

REMnux se distribuye como un archivo imagen de VMWare, por lo tanto solo basta descomprimir el archivo descargado y luego abrir con cualquiera de los productos de VMWare (WorkStation, Server, Player).

Entre las herramientas incluidas se encuentran las siguientes:
Análisis de Malware en Archivos Flash: swftools, flasm, flare.
Análisis de Boots IRC: Inspire, Irssi.
Monitoreo de red: Wireshark, Honeyd, INetSim, fakedns, fakesmtp, NetCat.
Análisis de JavaScripts: Firebug, NoScript, JavaScript Deobfuscator, Rhino debugger, SpiderMonkey, Windows Sript Decoder, Jsunpack-n.
Interacción con malware basado en web: TinyHTTPd, Paros Proxy.
Análisis de Shellcode: gdb, objdump, Radare, shellcode2.exe
Detección de protecciones y cifrados: upx, packerid, bytehist, xorsearch, TRiD.
Análisis de PDF maliciosos: Didier’s PDF tools, Origami framework, Jsunpack-n, pdftk.
Análisis de memoria: Volatility Framework

Dejo algunos screen shots del entorno REMnux.

Boot y pantalla de login:

User: remnux

Password: malware

X:

Tools:

Página oficial del proyecto REMnux

Descargar REMnux - MD5: dc28330411acafc6b7f595a11e8b7ea4

Veamos:

Juanito es el técnico de informática de una pequeña empresa o PYME. Siempre ha tenido todos sus equipos actualizados y controlados, hasta que un buen día se topó con un buen quebradero de cabeza: de repente los logs del backup diario informaban que no se había podido resguardar nada.

Intuyendo problemas, Juanito cogió su taza de café friki y se apresuró hacia su pequeña sala de servidores.

De repente se sorprendió al comprobar que todos los ordenadores de la sala estaban apagados. “¿Qué demonios ha pasado?”, pensó. No había habido problemas con el suministro eléctrico y tampoco recordaba haber hecho algún cambio últimamente que pudiera haber provocado tal ‘cagada’.

De repente empezaron a sonar los teléfonos: los usuarios reclamaban el acceso al correo y a Internet… Encendió todos los servidores para dar servicio, se agarró los machos y empezó a analizar el problema…

Después de varias pruebas, sospechó que pudiera tratarse de algún tipo de virus. Pero tras analizar un montón de discos con su antivirus actualizado de Panda e incluso con otros programas antivirus/antispyware no encontró nada. Lo único que le llamó poderosamente la atención fueron algunos registros de su proxy. Concretamente varios accesos a una página web sospechosa y de contenido… digamos… adulto-lúdico-festivo…

Tras estar navegando por la web durante dos rápidas horas y observar distintas señoritas ligeras de ropa, consiguió evadirse un momento de tanta distracción y descargó un fichero muy sospechoso que la web instaba a ejecutar para la instalación de un códec de video.

Evidentemente ese fichero tenía algo raro y el estaba convencido que podía ser la causa de los problemas. De repente un portazo atronador hizo levantar a Juanito de su silla, “¡Dios, el jefe!”, exclamó pudiendo apenas contener su esfínter.

El jefe, mirando de reojo la voluminosa muchacha que aparecía en la pantalla del ordenador de Juanito y con la vena (de la frente) hinchada le gritó: “¡¡¿Juanito, que diablos ha pasado?!! Faltan ficheros en el servidor de finanzas y por si fuera poco nos acaba de llamar el banco para que autoricemos una operación que nadie ha realizado. ¡Quiero que recuperes las últimas facturas y un informe en la mesa, YAAA!!”.

Tras otro portazo y varios amagos de infarto, Juanito contuvo un momento el aliento: tenía que aclarar lo sucedido lo antes posible. Estaba nervioso y perdido, por lo que cogió tembloroso su teclado y nos escribió pidiendo ayuda…

¿Quieres ayudar a Juanito a conservar su empleo y a Zapatero a no aumentar (más aún) la lista del paro?

Si es así, pincha este enlace, analiza el malware y responde a las siguientes preguntas para que Juanito entienda lo sucedido y pueda elaborar el informe para su jefe:

Preguntas:

1. ¿Qué tipo de malware es?. ¿Cuáles son las consecuencias para el equipo infectado?
2. ¿Cuál es su nombre y versión?
3. ¿A dónde intenta conectarse?
4. ¿Cuál es el nombre y la ruta del ejecutable del binario en el equipo infectado?
5. ¿Cuál es el nombre del proceso del malware?
6. ¿Se trata de un código malicioso persistente? En caso afirmativo, ¿cómo se inicia en el arranque?
7. En resumen, ¿Cuál es el proceso de infección que realiza el malware? ¿por qué se apagaron todos los ordenadores de la sala? Explica un poco el cronograma de los hechos.

Por favor, ayuda a Juanito pero no publiques la solución en los comentarios y, como siempre, mándanos la solución y el procedimiento seguido a:

Más información y Participación en el reto (Web Oficial – HackPlayers)