REMnux: La Distro de Referencia para Análisis de Malware

Qué es REMnux

REMnux es una distribución Linux basada en Ubuntu, creada y mantenida por Lenny Zeltser (instructor SANS y autor del curso FOR610). Su propósito es claro: proporcionar un entorno completo y listo para el análisis de malware, reverse engineering y forense digital.

La distribución incluye más de 500 herramientas preinstaladas y preconfiguradas. Desde desensambladores hasta analizadores de tráfico de red, pasando por herramientas de deobfuscación y frameworks de análisis de documentos maliciosos. Todo lo que un analista necesita para diseccionar una muestra sospechosa sin perder tiempo configurando dependencias.

REMnux no es una distribución ofensiva. No incluye exploits ni herramientas de penetración. Su enfoque es puramente defensivo: entender qué hace el malware, cómo se comunica, qué persiste y cómo detectarlo.

Historia y evolución

Lenny Zeltser publicó la primera versión de REMnux en 2010 como complemento a su curso SANS FOR610 (Reverse-Engineering Malware). La idea surgió de una necesidad práctica: los alumnos pasaban demasiado tiempo instalando y configurando herramientas en lugar de analizar muestras.

Desde entonces, REMnux ha pasado por varias iteraciones importantes:

• v1 a v6: distribuciones basadas en Ubuntu con ISOs descargables
• v7 (2020): cambio fundamental de arquitectura. En lugar de distribuir una ISO monolítica, REMnux adoptó un sistema de instalación basado en SaltStack que permite instalar las herramientas sobre una instalación limpia de Ubuntu o actualizar una instalación existente
• Actualizaciones continuas: desde v7, las herramientas se actualizan de forma independiente sin necesidad de reinstalar la distribución completa

Este cambio a SaltStack fue significativo. Permite a los analistas mantener su entorno actualizado con un solo comando y personalizar qué herramientas instalar según sus necesidades.

Instalación y configuración

Opción 1: OVA preconfigurada (recomendada para empezar)

La forma más rápida de empezar es descargar la imagen OVA desde el sitio oficial de REMnux e importarla en VirtualBox o VMware:

# Descargar OVA desde https://remnux.org
# Importar en VirtualBox:
# Archivo → Importar servicio virtualizado → seleccionar .ova

# Credenciales por defecto:
# Usuario: remnux
# Password: malware

La OVA viene con todo preconfigurado: herramientas instaladas, atajos de teclado, y una configuración de red segura. Después de importar, el primer paso obligatorio es crear un snapshot limpio.

Opción 2: Instalación sobre Ubuntu existente

Si prefieres instalar REMnux sobre una instalación limpia de Ubuntu 20.04 o superior:

# Descargar el instalador
wget https://REMnux.org/remnux-cli
chmod +x remnux-cli
sudo mv remnux-cli /usr/local/bin/remnux

# Instalación completa (puede tardar entre 40 y 90 minutos)
sudo remnux install --mode=dedicated

# O instalación sobre un sistema Ubuntu existente (addon mode)
sudo remnux install --mode=addon

El modo dedicated convierte la máquina en un entorno REMnux completo, modificando la configuración del sistema. El modo addon instala las herramientas sin alterar la configuración base del sistema operativo.

Opción 3: Docker

Para análisis puntuales o integración en pipelines CI/CD:

docker pull remnux/remnux-distro
docker run --rm -it remnux/remnux-distro /bin/bash

Configuración de red recomendada

Para análisis seguro de malware, la configuración de red es crítica:

Red host-only (aislada):
  REMnux VM:  10.0.0.1 (analista)
  Windows VM: 10.0.0.2 (víctima, si es necesario)
  Sin gateway → sin acceso a Internet

Red NAT (para descargar herramientas):
  Activar solo cuando necesites actualizar
  Desactivar antes de analizar muestras

La configuración ideal es tener dos adaptadores de red: uno host-only para análisis aislado y otro NAT que se activa solo para actualizaciones.

Herramientas incluidas por categoría

REMnux organiza sus más de 500 herramientas en categorías funcionales. Estas son las más relevantes para el trabajo diario de un analista:

Análisis estático de ejecutables

Herramienta	Uso principal
Ghidra	Desensamblador y decompilador (NSA). Análisis de binarios PE, ELF, Mach-O
Radare2/Rizin	Framework de reverse engineering en línea de comandos
capa	Detección automática de capacidades del malware usando reglas FLIRT y YARA
pefile	Parsing de cabeceras PE, secciones, imports, exports, resources
YARA	Matching de patrones para clasificar y detectar familias de malware
ssdeep	Fuzzy hashing para encontrar variantes similares de malware
upx	Desempaquetador de ejecutables comprimidos con UPX
die (Detect It Easy)	Identificación de packer, compilador y protector del binario

Análisis de documentos maliciosos

Herramienta	Uso principal
olevba	Extracción y análisis de macros VBA en documentos Office
oletools	Suite completa para analizar OLE2 (Word, Excel, PowerPoint)
pdf-parser	Análisis de estructura interna de PDFs maliciosos
pdfid	Identificación rápida de elementos sospechosos en PDFs
XLMMacroDeobfuscator	Deobfuscación de macros XLM (Excel 4.0)
rtfobj	Extracción de objetos embebidos en documentos RTF

Análisis de red y tráfico

Herramienta	Uso principal
Wireshark / tshark	Captura y análisis de tráfico de red
FakeNet-NG	Simulador de red que responde a peticiones DNS, HTTP, SMTP del malware
INetSim	Simulador de servicios de Internet (alternativa a FakeNet)
mitmproxy	Proxy HTTPS para interceptar tráfico cifrado del malware
NetworkMiner	Análisis forense de capturas PCAP
ngrep	Búsqueda de patrones en tráfico de red

Análisis de memoria

Herramienta	Uso principal
Volatility 3	Framework de forense de memoria (procesos, DLLs, conexiones, hooks)
Rekall	Análisis de memoria con soporte para múltiples formatos de volcado

Deobfuscación y desempaquetado

Herramienta	Uso principal
CyberChef	Transformaciones encadenadas: Base64, XOR, ROT13, descompresión
de4dot	Deobfuscador de binarios .NET
JS Beautifier	Formateo y deobfuscación de JavaScript malicioso
Didier Stevens Suite	Herramientas para análisis de scripts, shellcode y streams
scdbg	Emulador de shellcode basado en libemu
speakeasy	Emulador de binarios Windows para análisis de shellcode y PE

Scripts y scripting malicioso

Herramienta	Uso principal
ViperMonkey	Emulador de macros VBA para análisis dinámico sin ejecutar Office
box-js	Sandbox de JavaScript para analizar droppers basados en JS
phpspy	Análisis de webshells PHP
PowerDecode	Deobfuscación de scripts PowerShell maliciosos

Flujo de trabajo: análisis de una muestra

El flujo típico en REMnux sigue una progresión de lo general a lo específico:

Paso 1: Triage inicial

# Identificar el tipo de archivo
file sample.exe
exiftool sample.exe

# Calcular hashes para búsqueda en bases de datos
md5sum sample.exe
sha256sum sample.exe
ssdeep sample.exe

# Búsqueda rápida en VirusTotal (si tienes API key)
vt file scan sample.exe

Paso 2: Análisis estático básico

# Para ejecutables PE (Windows)
pefile sample.exe
peframe sample.exe

# Detectar packer/compilador
diec sample.exe  # Detect It Easy

# Extraer strings
strings -a sample.exe | less
floss sample.exe  # FLARE FLOSS extrae strings ofuscadas

# Analizar capacidades con capa
capa sample.exe

El output de capa es especialmente valioso porque mapea las capacidades detectadas directamente a técnicas MITRE ATT&CK:

+------------------------------------------+----------------------------+
| CAPABILITY                               | ATT&CK TECHNIQUE           |
+------------------------------------------+----------------------------+
| receive data (2 matches)                 | T1071 Application Layer    |
| persist via Run registry key (1 match)   | T1547.001 Registry Run Key |
| encrypt data using AES (1 match)         | T1573 Encrypted Channel    |
+------------------------------------------+----------------------------+

Paso 3: Análisis con YARA

# Escanear con reglas existentes
yara -r /opt/remnux-yara-rules/ sample.exe

# Crear regla personalizada
cat << 'EOF' > custom_rule.yar
rule Suspicious_Emotet_Loader {
    meta:
        author = "MalwareIntel"
        description = "Detecta loader Emotet por strings de C2"
    strings:
        $s1 = "POST" ascii
        $s2 = "/wp-content/" ascii
        $hex = { 8B 45 ?? 83 C0 ?? 50 FF 15 }
    condition:
        uint16(0) == 0x5A4D and all of them
}
EOF

yara custom_rule.yar sample.exe

Paso 4: Análisis de documentos (si aplica)

# Documento Office con macros
olevba suspicious.docm
olevba --deobf suspicious.docm

# PDF malicioso
pdfid suspicious.pdf
pdf-parser --search /JavaScript suspicious.pdf
pdf-parser --object 5 --filter suspicious.pdf  # Extraer objeto específico

Paso 5: Análisis dinámico con simulación de red

# Iniciar FakeNet-NG para capturar comunicaciones C2
sudo fakenet

# En otra terminal, ejecutar la muestra (si es ELF)
chmod +x sample_elf
./sample_elf

# Revisar las conexiones capturadas por FakeNet
# FakeNet responderá a DNS, HTTP, HTTPS, SMTP...

Paso 6: Análisis de memoria

# Tras ejecutar la muestra, volcado de memoria de la VM
# (desde el host, usando VBoxManage o vmrun)

# Analizar con Volatility 3
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.netscan
vol3 -f memory.dmp windows.malfind
vol3 -f memory.dmp windows.dlllist --pid 1234

Casos de uso reales

Caso 1: Triaje de documento Office sospechoso

Un analista SOC N2 recibe una alerta por un adjunto .docm detectado en el correo corporativo. En REMnux:

1. olevba revela macros VBA con Shell(), CreateObject("WScript.Shell") y strings Base64
2. ViperMonkey emula la macro sin ejecutar Office y muestra que descarga un payload de una URL
3. CyberChef decodifica el Base64 embebido, revelando un script PowerShell con segundo stage
4. PowerDecode deobfusca el PowerShell, mostrando la URL del C2 y el nombre del ejecutable dropper

Resultado: IOCs extraídos (URL de descarga, hash del dropper, dominio C2) en menos de 15 minutos, sin ejecutar nada en un entorno Windows real.

Caso 2: Análisis de binario PE empaquetado

Una muestra sospechosa llega al equipo de threat hunting:

1. diec identifica el packer como UPX modificado
2. upx -d falla (packer custom), pero x64dbg con scripting permite encontrar el OEP
3. Una vez desempaquetado, capa identifica capacidades de keylogger y exfiltración por SMTP
4. strings y FLOSS revelan dominios de C2 hardcodeados
5. YARA con reglas de la comunidad identifica la muestra como variante de Agent Tesla

Caso 3: Análisis de tráfico C2 capturado

El equipo SOC captura un PCAP sospechoso:

1. Wireshark muestra beacons HTTP regulares (cada 60 segundos) a un dominio sospechoso
2. NetworkMiner extrae archivos transferidos en la sesión
3. tshark con filtros específicos aísla el patrón de comunicación
4. CyberChef decodifica los payloads Base64 en los parámetros GET, revelando comandos del C2

REMnux en el ecosistema de análisis

REMnux no opera en aislamiento. Su verdadero potencial se despliega cuando se integra con otras herramientas del ecosistema:

Combinación con FlareVM

La configuración más potente para un laboratorio de malware combina REMnux (análisis de red y Linux) con FlareVM (análisis de Windows):

┌─────────────────────────────────────────┐
│ HOST (VirtualBox/VMware)                │
│                                         │
│  ┌──────────────┐  ┌──────────────┐    │
│  │   REMnux     │  │   FlareVM    │    │
│  │  (análisis)  │←→│  (ejecución) │    │
│  │  FakeNet-NG  │  │  x64dbg      │    │
│  │  Wireshark   │  │  Procmon     │    │
│  └──────────────┘  └──────────────┘    │
│       ↕ Red host-only (aislada)         │
└─────────────────────────────────────────┘

REMnux actúa como gateway de red, capturando todo el tráfico que genera la muestra ejecutada en FlareVM. FakeNet-NG en REMnux responde a las peticiones DNS y HTTP del malware, mientras Wireshark captura todo para análisis posterior.

Integración con plataformas CTI

Los IOCs extraídos en REMnux se pueden exportar directamente a plataformas como MalwareIntel, MISP o OpenCTI:

# Exportar IOCs en formato STIX 2.1
# (usando scripts personalizados o herramientas como stix2)
python3 export_iocs.py --format stix2 --output results.json

# Subir a MISP
python3 pymisp_upload.py --event "Análisis Emotet 2026-06" --file results.json

Personalización y mantenimiento

Actualizar herramientas

# Actualizar todas las herramientas
sudo remnux update

# Actualizar una herramienta específica
sudo pip3 install --upgrade oletools

Añadir herramientas propias

REMnux usa SaltStack para gestión de configuración. Puedes añadir tus propias herramientas:

# Instalar herramientas adicionales
sudo pip3 install malware-bazaar-api
sudo apt install -y binwalk foremost

# Crear alias para flujos de trabajo frecuentes
echo 'alias triage="file \$1 && sha256sum \$1 && strings -a \$1 | wc -l"' >> ~/.bashrc

Gestión de snapshots

Los snapshots son fundamentales cuando trabajas con malware:

# En VirtualBox (desde el host)
VBoxManage snapshot "REMnux" take "clean-base" --description "Estado limpio post-instalación"

# Restaurar después de cada análisis
VBoxManage snapshot "REMnux" restore "clean-base"

La recomendación es mantener al menos tres snapshots: uno limpio base, uno con herramientas personalizadas añadidas, y uno previo al análisis actual.

Limitaciones y alternativas

REMnux tiene algunas limitaciones que conviene conocer:

• No analiza binarios Windows nativamente: necesitas complementarlo con FlareVM o una VM Windows para análisis dinámico de PE
• Curva de aprendizaje: muchas herramientas son de línea de comandos sin interfaz gráfica
• Consumo de recursos: la OVA completa requiere al menos 4 GB de RAM y 60 GB de disco
• No es para pentesting: si necesitas herramientas ofensivas, Kali o Parrot son mejores opciones

Para equipos que prefieran alternativas, Tsurugi Linux y CSI Linux ofrecen funcionalidades similares con enfoques diferentes. Tsurugi se centra en DFIR con herencia italiana, mientras que CSI Linux añade capacidades OSINT y acceso a la dark web.

Recursos de aprendizaje

Para aprovechar REMnux al máximo:

• SANS FOR610: el curso oficial de Lenny Zeltser sobre reverse engineering de malware
• Blog de Lenny Zeltser: tutoriales específicos para cada herramienta de REMnux
• Documentación oficial: remnux.org/docs con guías de instalación y uso
• Malware Traffic Analysis: ejercicios prácticos con PCAPs reales para analizar en REMnux
• Practical Malware Analysis (libro): referencia fundamental que se alinea con el flujo de trabajo de REMnux

REMnux es el punto de partida natural para cualquier analista que quiera profesionalizar su capacidad de análisis de malware. Su combinación de herramientas curadas, mantenimiento activo y comunidad sólida lo convierten en el estándar de facto para laboratorios de análisis defensivo.