Küresel Araştırma ve Analiz Ekibi (GReAT), tersine mühendislik için en önemli araçlardan biri olan IDA Pro için son teknoloji ürünü bir eklenti olan hrtng’nin yayınlandığını duyurdu.
Kötü amaçlı yazılım analizinin verimliliğini artırmak için özel olarak tasarlanan hrtng, analistlere kötü amaçlı ikili dosyaların incelenmesiyle ilgili normalde karmaşık olan görevleri otomatikleştiren ve basitleştiren güçlü özellikler sağlar.
Hrtng’nin Evrimi
Hrtng’nin yolculuğu 2016 yılında, ilk olarak Milan Bohacek tarafından geliştirilen hexrays_tools eklentisinin bir çatalı olarak başladı.
GReAT’te uzman bir tersine mühendis olan Sergey Belov’un liderliğinde, hrtng, kötü amaçlı yazılım analizinin gelişen zorluklarına çözüm bulmak için sürekli yükseltmelerden geçti.
Bu, IDA Pro SDK’nın en son sürümleriyle uyumluluğu sağlamak için terk edilmiş eklentilerdeki işlevlerin entegre edilmesini ve güncellenmesini içerir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Ekip, yıllarca şirket içinde kullanıldıktan sonra bu güçlü aracı küresel siber güvenlik topluluğuyla paylaştı.
Hrtng’nin kaynak kodu, artık GitHub’da GPLv3 lisansı altında mevcut olup, dünya çapındaki araştırmacıların ve analistlerin bu kodun yeteneklerini kullanmasına, değiştirmesine ve geliştirmesine olanak tanır.
Kötü Amaçlı Yazılıma Tersine Mühendislik Dönüştürme
Tersine mühendislik kötü amaçlı yazılımları, özellikle karmaşık derlemeler, şifrelenmiş veriler veya ayrıntılı anti-analiz teknikleriyle karşı karşıya kaldıklarında zorlu ve zaman alıcı bir görev olabilir.
Hrtng eklentisi, süreci kolaylaştırmayı amaçlayan bir dizi yenilikçi özellik ile bu zorlukların üstesinden gelir.
Hrtng’nin Temel Özellikleri
- Veri Şifre Çözme Kolaylaştı:
Kötü amaçlı yazılım örneğindeki şifrelenmiş kabuk kodunun veya verilerin şifresini çözmek artık birkaç tıklamayla mümkün. Hrtng ile analistler, bir şifreleme algoritması (XOR, RC4 veya AES gibi) ve anahtar belirlemek için Verilerin Şifresini Çözme özelliğini kullanabilir ve okunabilir içeriğin çıkarılmasını basitleştirebilirler.
- Karmaşık PE Formatlarını Kullanma:
Kötü amaçlı yazılımlar, analizi engellemek için sıklıkla değiştirilmiş Taşınabilir Yürütülebilir (PE) dosya formatlarını kullanır. hrtng, PE yapılarının ve alanlarının kusursuz bir şekilde uygulanmasına olanak tanıyarak analistlerin, kurcalanmış PE bileşenlerini bile doğru bir şekilde ayrıştırıp analiz edebilmesini sağlar.
- API Karma Çözünürlüğü:
Birçok kötü amaçlı yazılım örneği, işletim sistemiyle etkileşimlerini gizlemek için API karmasını kullanır. Eklentinin API Karma Taraması, bu karmaları otomatik olarak algılar ve çözer, gizli API işlevlerini ortaya çıkarır ve IDA’ya faydalı yorumlar ekler.
- Karmaşık Kod Ayrıştırma:
Önemsiz talimatlar veya aldatıcı koşullu atlamalar eklemek gibi şaşırtma teknikleri, sökücülerin kafasını karıştırabilir. Gizlenmiş Kodu Çözme özelliği, bu tür dikkat dağıtıcı unsurları etkili bir şekilde ortadan kaldırarak, ayrıştırılmış veya kaynak koda dönüştürülmüş kodun netliğini geri kazandırır. - Kod İmza Tanıma:
IDA’nın FLIRT aracına gelişmiş bir alternatiften yararlanan hrtng’nin MSIG’si (parçalamaya değil, derlenmiş koda dayalı), yoğun şekilde gizlenmiş ikili dosyalarda bile işlev imzalarını tanımada mükemmeldir. - Gelişmiş Kullanıcı Deneyimi:
Eklenti, döngüler ve koşullu bloklar için braket vurgulama, hızlı veri türü atamaları ve IDA komut dosyalarıyla güçlü entegrasyon gibi özelliklerle gezinmeyi ve okunabilirliği basitleştirir.
Ekip, hrtng’nin gücünü göstermek için gelişmiş bir casus yazılım programı olan FinSpy’ı analiz etti.
Eklenti yalnızca kabuk kodunun şifresinin çözülmesini kolaylaştırmakla kalmadı, aynı zamanda kurcalanmış bir PE yükünün paketinin açılmasına, API karmalarının çözülmesine ve FinSpy’ın sanallaştırma tabanlı kod koruması gibi gelişmiş gizleme tekniklerinin üstesinden gelinmesine de yardımcı oldu.
Genellikle saatlerce (hatta günlerce) manuel çaba gerektiren görevler, hrtng ile birkaç otomatik adıma indirildi.
SecureList’in raporuna göre GReAT ekibi, hrtng’yi yayınlayarak siber güvenlik topluluğuna çok değerli bir katkı yaptı.
Emek yoğun süreçleri otomatikleştirme ve karmaşık kötü amaçlı yazılım teknikleriyle başa çıkma yeteneği sayesinde eklenti, analistlerin araştırmalarının kritik yönlerine odaklanmasını sağlar.
Kötü amaçlı yazılım tehditleri daha karmaşık hale geldikçe, hrtng gibi araçlar dijital adli tıp ve tehdit istihbaratı çabalarının etkinliğini artırmada önemli bir rol oynamaya hazırlanıyor.
Araştırmacılar, hrtng’nin yalnızca iş akışlarını kolaylaştırmakla kalmayıp aynı zamanda kötü amaçlı yazılım analizi alanında daha fazla yeniliğe ilham vereceği konusunda iyimser.
Verimlilik ve hassasiyet arasındaki boşluğu dolduran bu eklenti, dünya çapındaki tersine mühendislerin cephaneliğinde bir mihenk taşı haline gelebilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses