REMnux es una distribución Linux basada en Ubuntu diseñada específicamente para análisis de malware y reverse engineering. Creada y mantenida por Lenny Zeltser (SANS), incluye más de 100 herramientas preinstaladas: Ghidra, radare2, Volatility, oletools, YARA, y muchas más.

¿REMnux reemplaza a FLARE VM?

No. REMnux complementa a FLARE VM. FLARE VM es para análisis de malware Windows (PE, .NET, debugging con x64dbg). REMnux es para análisis de malware Linux (ELF), documentos maliciosos (Office, PDF), network forensics, y memory forensics. Lo ideal es tener ambas VMs.

¿Cómo instalo REMnux?

Tres opciones: (1) Descargar OVA y importar en VMware/VirtualBox, (2) Instalar sobre Ubuntu 20.04 existente con el script remnux install, (3) Usar el contenedor Docker. La OVA es la más rápida.

¿Es seguro analizar malware en REMnux?

REMnux es para análisis estático y de documentos/scripts. Para ejecutar malware Linux dinámicamente, usar una VM separada (no REMnux directamente). REMnux es tu estación de trabajo de análisis, no tu sandbox de ejecución.

¿Qué ventaja tiene REMnux sobre instalar herramientas manualmente?

Ahorro de tiempo: 100+ herramientas preinstaladas y configuradas. Compatibilidad verificada entre herramientas. Actualizaciones centralizadas. Y la curación de Lenny Zeltser (uno de los instructores más respetados de SANS en análisis de malware).

PrincipiantelaboratorioREMnuxLinuxdistribuciónherramientasanálisis

REMnux: La Distro de Referencia para Análisis de Malware en Linux

Guía de REMnux, la distribución Linux de referencia para análisis de malware. Instalación, herramientas incluidas (Ghidra, Volatility, oletools, YARA), workflows de análisis, y cómo complementa a FLARE VM en tu laboratorio.

MalwareIntel Research·21 de mayo de 2026·5 min lectura

Serie: Entornos de Análisis — Parte 5

REMnux: análisis de malware desde Linux

REMnux es el complemento perfecto de FLARE VM. Donde FLARE VM cubre el análisis de malware Windows, REMnux cubre el análisis de malware Linux, documentos maliciosos, scripts, network forensics y memory forensics.

Creada en 2010 por Lenny Zeltser (instructor de SANS FOR610: Reverse-Engineering Malware), REMnux ha sido la distribución de referencia de la comunidad de análisis de malware durante más de 15 años.

Instalación

Opción 1: OVA (más rápida)

# 1. Descargar OVA desde remnux.org
# 2. Importar en VMware o VirtualBox
# File > Import Appliance > seleccionar OVA
# 3. Configurar red como Host-only
# 4. Arrancar
# Usuario: remnux | Password: malware

Opción 2: instalar sobre Ubuntu

# Requisitos: Ubuntu 20.04 LTS (focal) limpio
wget https://remnux.org/remnux-cli
chmod +x remnux-cli
sudo mv remnux-cli /usr/local/bin/

# Instalacion completa (1-2 horas)
sudo remnux install

# Actualizacion posterior
sudo remnux upgrade

Opción 3: Docker

docker pull remnux/remnux-distro:focal
docker run --rm -it remnux/remnux-distro:focal bash

Herramientas principales de REMnux

Reverse engineering

Herramienta	Uso
Ghidra	Decompilador multi-plataforma
radare2 / Cutter	Framework RE + GUI
objdump	Disassembly de ELF
readelf	Análisis de headers ELF
CAPA	Detección de capacidades
FLOSS	Strings ofuscadas
upx	Unpacker

Documentos maliciosos

Herramienta	Uso
olevba	Extraer/analizar macros VBA de Office
oleid	Identificar documentos OLE sospechosos
rtfobj	Analizar RTF con objetos OLE
pdfid	Identificar elementos sospechosos en PDF
pdf-parser	Analizar estructura de PDF
peepdf	Análisis interactivo de PDF
XLMMacroDeobfuscator	Deobfuscar macros Excel 4.0

Network forensics

Herramienta	Uso
Wireshark / tshark	Análisis de PCAP
NetworkMiner	Extracción de archivos de PCAP
ngrep	grep para tráfico de red
tcpdump	Captura de tráfico
INetSim	Simulación de servicios de Internet
FakeDNS	DNS falso para análisis
mitmproxy	Interceptar HTTPS

Memory forensics

Herramienta	Uso
Volatility 3	Framework de memory forensics
Volatility 2	Version legacy (más plugins)
rekall	Framework alternativo (deprecated)

Python packages

Package	Uso
pefile	Parsing PE
yara-python	YARA desde Python
scapy	Manipulación de paquetes
oletools	Suite completa de análisis OLE
pwntools	CTF y exploit development
capstone	Disassembly
unicorn	Emulación de CPU
angr	Binary analysis framework
lief	Library para parsing PE/ELF/MachO

Workflows con REMnux

Análisis de documento Office malicioso

# 1. Identificar
file suspicious.doc
oleid suspicious.doc

# 2. Extraer macros
olevba suspicious.doc
# Muestra: AutoExec macros, strings sospechosos, IOCs

# 3. Deobfuscar macros
olevba --deobf suspicious.doc

# 4. Si tiene macros XLM (Excel 4.0)
XLMMacroDeobfuscator -f suspicious.xlsm

# 5. Extraer IOCs
olevba -a suspicious.doc

Análisis de PDF malicioso

# 1. Identificar elementos sospechosos
pdfid suspicious.pdf
# Buscar: /JS, /JavaScript, /OpenAction, /Launch, /EmbeddedFile

# 2. Analizar estructura
pdf-parser suspicious.pdf

# 3. Extraer JavaScript
pdf-parser --object [obj_num] suspicious.pdf

# 4. Analisis interactivo
peepdf suspicious.pdf

Análisis de PCAP (tráfico de malware)

# 1. Estadísticas generales
capinfos traffic.pcap

# 2. Buscar conversaciones
tshark -r traffic.pcap -q -z conv,tcp

# 3. Extraer DNS queries
tshark -r traffic.pcap -Y "dns.flags.response == 0" -T fields -e dns.qry.name | sort -u

# 4. Extraer HTTP requests
tshark -r traffic.pcap -Y "http.request" -T fields -e http.host -e http.request.uri

# 5. Extraer archivos transferidos
tshark -r traffic.pcap --export-objects http,/tmp/extracted/

# 6. Analisis visual
wireshark traffic.pcap

Análisis de ELF malware

# 1. Triage
file sample
sha256sum sample
strings -a sample | grep -iE '(http|[0-9]+\.[0-9]+\.[0-9]+|password)'

# 2. Headers y imports
readelf -h sample
readelf --dyn-syms sample
checksec --file=sample

# 3. Packer check
upx -t sample 2>/dev/null

# 4. CAPA
capa sample

# 5. Decompilación
# Abrir Ghidra, importar sample, Auto Analyze

REMnux + FLARE VM: el laboratorio completo

┌─────────────────────────────────────────────────────┐
│                    HOST (tu PC)                      │
│                                                      │
│  ┌──────────────────┐  ┌──────────────────────────┐ │
│  │    FLARE VM       │  │       REMnux             │ │
│  │    (Windows)      │  │       (Linux)            │ │
│  │                   │  │                          │ │
│  │ - PE analysis     │  │ - ELF analysis           │ │
│  │ - .NET debugging  │  │ - Document analysis      │ │
│  │ - x64dbg          │  │ - PCAP analysis          │ │
│  │ - Procmon/Sysmon  │  │ - Memory forensics       │ │
│  │ - Ejecucion Win   │  │ - INetSim (fake net)     │ │
│  │                   │  │ - Scripts Python          │ │
│  │  Red: Host-only   │  │  Red: Host-only          │ │
│  └──────────────────┘  └──────────────────────────┘ │
│                                                      │
│  Red Host-only: FLARE VM ←→ REMnux (para INetSim)   │
│  Sin acceso a Internet real                          │
└─────────────────────────────────────────────────────┘

Comunicación entre VMs: FLARE VM ejecuta el malware Windows. REMnux corre INetSim para simular Internet. El malware en FLARE VM "cree" que tiene acceso a Internet pero todo el tráfico va a REMnux donde lo capturamos con Wireshark.

Fuentes y referencias

Zeltser, L. "REMnux: A Linux Toolkit for Malware Analysis." https://remnux.org/
SANS. "FOR610: Reverse-Engineering Malware." SANS Institute.
Mandiant. "CAPA and FLOSS." https://github.com/mandiant/
Volatility Foundation. "Volatility 3." https://github.com/volatilityfoundation/volatility3
Wireshark Foundation. "Wireshark." https://www.wireshark.org/
Decalage. "oletools." https://github.com/decalage2/oletools

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Learning Linux Binary Analysis (Elfmaster)