Tersine mühendislik ve zararlı yazılım analizi için temel araçları barındıran REMnux, ayrıca birçok aracı da docker container altyapısıyla sunmakta. Bu yazı kapsamında, bahse konu containerlara hızlı erişim ayarlarını ve REMnux ile birlikte gelen Viper Binary Analysis and Management Framework ile ilgili temel bilgileri incelemeye çalışalım.
- REMNux ile birlikte gelen araçların detaylarına erişmek için bu bağlantıyı,
- Cheatsheet’i indirmek için bu bağlantıyı,
- REMnux‘un da içinde yer aldığı oldukça kapsamlı bir malware analiz labı oluşturulmasıyla ilgili bilgilere erişmek için bu bağlantıyı,
- Viper frameworkle ilgili temel bilgilere erişmek için bu bağlantıyı,
İnceleyebilirsiniz. Kurulumlara başlamadan önce REMnux dağıtımını güncelleyelim ve sonrasında gedit, gnome icons ve cherrytree temel uygulamaları yükleyelim. Sonrasında Remnux‘a ait bileşenleri “remnux update” komutuyla güncelleyelim.
sudo apt update && apt-get upgrade -y
sudo apt install gnome-shell-extension-desktop-icons
sudo apt install gedit -y
sudo snap install cherrytree -y
wget https://digital-forensics.sans.org/media/remnux-malware-analysis-tips.pdf -O /home/remnux/Desktop/cheatsheet.pdf
remnux updateBir sonraki adımda REMnux‘de bulunan docker uygulamalarını yönetmek ve hızlıca erişmek için oluşturduğum scripti bu bağlantıdan indirelim ve aşağıdaki komutlarla çalıştıralım.
wget https://raw.githubusercontent.com/kaptankojiro/remnuxconfigs/main/remnux.sh
chmod +x remnux.sh
./remnux.shScripti çalıştırdıktan sonra dilediğiniz aracı seçerek kurulumları gerçekleştirebilir ve sonrasında kullanmaya başlayabilirsiniz. REMnux ile birlikte gelen docker containerlarına dair detaylara da bu bağlantıdan erişebilirsiniz.
İlgili ayarları bitirdikten sonra yazının bir diğer konusuna dönelim. Viper Binary Analysis and Management Framework’u aşağıdaki komutları girerek kuralım. (Farklı bir Linux dağıtımında test etmek amacıyla aşağıdaki komutları kullanarak araç bağımlılıklarını ve Viper’ı kurabilirsiniz.)
sudo apt-get install git gcc python3-dev python3-pip -y
sudo apt-get install libssl-dev swig libffi-dev ssdeep libfuzzy-dev unrar-
free p7zip-full -y
sudo apt-get install exiftool tor clamav-daemon libdpkg-perl -y
sudo service clamav-daemon start
sudo pip3 install viper-frameworkViper’ı çalıştırdıktan sonra “update-modules” komutuyla modülleri indirip güncellemeye işlemlerini gerçekleştirelim.
Viper ile birlikte gelen komut setini inceleyelim.
Bir sonraki adımda Viper’ı web arayüzünden yönetmek için Viper-Web uygulamasını indirip kurulumları gerçekleştirelim.
git clone https://github.com/viper-framework/viper-web.git
cd viper-web/
pip3 install -r requirements.txt
./viper-webUygulamayı çalıştırdıktan sonra rasgele oluşturulan parolayı kullanarak admin kullanıcısıyla http://127.0.0.1:8080/ bağlantısı üzerinden web portalına giriş yapalım.
Web arayüzüne girdikten sonra zararlı içerdiğini düşündüğümüz dosyaları sisteme yükleyelim.
Modules bölümüyle, yukarıda paylaştığım komut setiyle yapılan birçok işlem terminal ekranı yerine web arayüzünden yapılabilmekte.
Ayrıca Home > Default > CLI menüsünden komutlara ve çıktılarına erişmek mümkün.
~/.viper/viper.conf yolundaki config dosyasını düzenleyerek VirusTotal benzeri platformlara API yoluyla sorgular göndermek mümkün.
Faydalı olması dileğiyle…
Kaynaklar:
CSEC ZONE 