REMnux 설치 및 각 도구들 사용법

REMnux는 리버스 엔지니어링 및 악성코드 분석 시 필요한 툴킷들이 포함되어 있는 리눅스 기반 배포판입니다.

10년 만에 업데이트가 되었다고 해요. 그래서 포스팅합니다 하하하하 

뭐가 업데이트 되었냐고요? fireeye에서 개발한 capa라는 도구가 추가되었는데 

이 capa는 음,, 샌드박스와 비슷하다고 생각하시면 될 거 같습니다. 해당 파일에 대해 문자열이나 함수들을 수집하여 어떠한 위협들이 있다.라는 결과들을 표시해줍니다.

 

그게 뭐냐고요? 2020/03/20 - [모의해킹] - fireeye / commando-vm 설치

flare vm이나 commando vm같이 저절로 툴을 설치해줘 분석가들이 편리하게 끔 환경을 구성해주는 것이라고 생각하시면 될거같습니다.

REMnux는 우분투 18.04 버전에 분석 도구들이 설치되어 있는데, 대부분이 오픈소스로 구성되어 있고 CUI기반이라 자동화를 할 수 있다는 장점이 있습니다.

capa로 자동화 분석을 수행할 수 있을 거 같은데, 추후에 포스팅해보도록 하겠습니다!

 

 

그러면 같이 설치를 해볼까요?

다운로드는 https://remnux.org/ 해당 사이트에 접속하여 스크롤을 내려 다운로드 버튼을 클릭.

다운로드 버튼을 클릭하게 되면 다른 페이지로 리다이렉션 되는데, 아래로 조금 내려보면

가상 머신 파일인 ova파일을 다운로드할 수 있습니다. 다운로드!

 

다운로드 후에 .ova파일을 더블클릭하면 VMware나 VMware Player에 Import 시킬 수 있습니다.

임포트까지 완료해서 가상 머신에 올려보았습니다. 

이제 뭘 어떻게 하죠??? 

https://docs.remnux.org/#learn-more-about-remnux

REMnux: A Linux Toolkit for Malware Analysis

여기 위에 REMnux에 대해 자세히 나와있는 문서가 있습니다.

REMnux 환경 설정 팁들과 REMnux안에 존재하는 툴들에 대한 사용방법들이 존재합니다.

 

아래는 REMnux 사용에 있어서 간단한 cheat sheet입니다.

https://zeltser.com/media/docs/remnux-malware-analysis-tips.pdf

REmnux 명령어들이나, 도구들 설명들이 적혀있습니다.

 

https://zeltser.com/remnux-malware-analysis-tips/

REMnux Usage Tips for Malware Analysis on Linux

해당 링크로 접속하면 아래와 같은 화면이 나오게 되는데, 윈도우 파일과 리눅스 파일 및 여러 종류의 언어로 작성된 코드들을 분석할 때 사용할 수 있는 도구들이 소개됩니다. 파란색 글씨로 쓰여 있는 각 도구의 이름을 클릭하게 되면

클릭한 도구의 깃허브 페이지로 접속하고, 사용 법 등을 알 수 있습니다. 

 

Manalyse

정적 분석 도구로써, 다음과 같은 기능을 수행할 수 있습니다.

1) PE 컴파일러 식별

2) 패킹 여부 탐지

3) ClamAV 서명 적용

4) 의심스러운 문자열 검색

5) 악성코드가 주로 사용하는 Import 함수 검색

6) 암호화 상수 감지

7) 바이러스 토탈에 해시 제출

8) 인증 서명 확인

Manalyze 명령어 옵션

주로 사용할 거 같은 명령어들,,

> manalyze -r malware/ --plugins=peid,clamav --dump all    : malware 폴더 내 모든 파일들을 옵션을 통해 확인

> manayze --dump=all filename 

 

 

peframe

pe 파일 및 Office 파일에 대한 정적 분석을 수행할 수 있는데,  -i 옵션을 지정해주어 interactive 하게 사용할 수 있는 장점이 있다. 아래 링크는 peframe 도구를 어떻게 사용하는지 간단하게 동영상으로 보여준다.

https://asciinema.org/a/P6ANqp0bHV0nFsuJDuqD7WQD7?autoplay=1

-i 옵션을 사용하고 나면 interactive 한 모드로 진입하게 되는데, [Tab] 버튼을 두 번 누르면 사용할 수 있는 명령어들이 존재한다. behavior 명령에는 해당 파일이 어떤 의심스러운? 행동을 하는지 나타내 준다.

directories에서는 import나 tls, relocations 정보들을 확인할 수 있다. 나머지 명령어들은 하나씩 해보면서 공부해보면 좋을 거 같습니다.

 

pyew

마찬가지로 악성코드 분석 도구이며, 파이썬으로 작성되었다. 

처음 사용법으로는 매우 간단한데, pyew [파일명]을 입력하면 peframe의 -i 옵션을 사용한 것처럼 interactive 모드로 진입하게 된다.  처음 화면으로는 pe section 정보 및 헥사 덤프 화면을 표시해준다. 

사용할 수 있는 명령어들은 명령줄 라인에 pyew. [탭]을 누르게 되면 아래와 같이 사용할 수 있는 명령어들이 표시된다.

 

pyew.imports 명령 사용

오옹

shellcode2exe.bat 명령어도 있는데 바이너리 파일을 exe파일로 변환해주는 명령어도 존재합니다.

쉘코드를 더 편하게 분석할 수 있겠군,,,,,,,,,

하나하나씩 다 설명하긴 힘들지만, 도구 목록들을 보면 Flare VM과 유사한 점이 많습니다..

 

그럼 마지막으로 capa 까지만 설명드리겠습니다.

capa는 저번 달에 fireeye사에서 개발한 도구인데요, 해당 파일에 대한 위협을 탐지하고 ATT&CK와 연계하여 표시해줍니다.

제가 갖고 있는 샘플 아무거나 하나 올려봤더니,, 뜨는 정보가 없긴 하네요. 요즘 악성코드들이 보통 실행했을 때 메모리상에서 복호화를 하고 인젝션을 수행하기 때문에,, 보통 정적 분석으로 위협을 탐지하기는 어렵습니다..

 

remnux에 유용한 도구들이 많기 때문에 remnux 설치하시고 한 번씩 실습해보면서 새로운 도구들을 익히시면 많은 도움이 될 거 같습니다. flare vm을 아주 편리하게 사용하고 있는데요, 이 REMnux도 많이 애용해야겠습니다 ㅎㅎ