Gizli, kötü niyetli kodlarını savunuculardan korumak isteyen saldırganlar için güçlü bir silah olarak duruyor.
İşlevselliğini korurken kodu kasıtlı olarak anlamayı zorlaştıran bu teknik, siyah şapkalar ve beyaz şapkalar arasındaki devam eden mücadelenin temel taşıdır.
Penetrasyon testçilerinden antivirüs geliştiricilerine kadar, ters mühendisler paketleyiciler, anti-geliştirme, anti-VM taktikleri ve sofistike gizleme stratejileri gibi yöntemlere karşı yokuş yukarı bir savaşla karşılaşırlar.
.png
)
Bu yöntemler, analizi geciktirmek, otomatik araçları hayal kırıklığına uğratmak ve kötü niyetli niyetleri belirlemek için tasarlanmıştır, bu da her ikili potansiyel bir bulmaca haline getirir.
Örneğin, JavaScript gibi komut dosyaları yazarken, gizleme okunabilir kodu şifreli bir karmaşaya dönüştürebilirken, ikili kodda, önemsiz işlemleri karmaşık eşdeğerlerle değiştirerek önemsiz kod ekleme ilgisiz talimatlar veya talimat ikamesi gibi teknikler aracılığıyla kendini gösterir.
Düşmanı gözetleme deliği deobfuscation ile maskelemek
Ancak savunucular aletleri olmadan değildir. Etkili bir karşı önlem, bir anahtar deliğinden bakmaya benzer şekilde, küçük kod parçalarını bir seferde inceleyerek ve basitleştirerek gizlemeyi tersine çeviren bir teknik olan Peephol Deobfusation’dır.
Rapora göre, bu yerelleştirilmiş yaklaşım, önemsiz kod veya karmaşık ikameler gibi kalıpları hedefler ve bunları okunabilir talimatlara dönüştürür.
Bir lumma kötü amaçlı yazılım örneğini analiz etmede pratik bir örnek görülebilir (SHA256: 44573A7526D5053A28D8FE70C6AD8ADF8EEC148FE70C6AD8ADF8BB3DF179C0), operasyonların seri olarak kullanıldığı gibi, operasyonların seri olarak kullanıldığı gibi ohsused snippets kullandıkları gibi, operasyonların seri kullandığını azalttılar. Ghidra ve özel senaryolar.
BYTE desenlerini eşleştirerek ve otomatik yamalar uygulayarak, ters mühendisler aldatma katmanlarını çıkarabilir ve altındaki gerçek mantığı ortaya çıkarabilir.
Bu yöntem, kapsamlı olmasa da, olay yanıtı sırasında hızlı analiz için paha biçilmezdir.
Dahası, daha sinsi bir taktik olan kontrol akışı gizlemesi, döngüler veya koşullular gibi standart programlama yapılarını, kıvrımlı atlama dizileriyle değiştirerek, genellikle şaşkınlık düzenleyicileri bozar.
Lumma örneğinde, bu tür gizleme kritik yolları gizledi, ancak Ghidra’daki emülasyondan yararlanarak analistler, atlama hedeflerini hesaplayabilir ve mantıksal akışı geri yükleyerek şifreli montajı yapılandırılmış psödokod haline getirebilir.
Bu süreç, özenli olmasına rağmen, özellikle zamana duyarlı senaryolarda sembolik yürütme gibi daha karmaşık alternatifler üzerinde uyarlanabilir, hafif bozunma stratejilerinin önemini vurgulamaktadır.
Bu tekniklerin önemi daha geniş siber güvenlik bağlamında abartılamaz.
Her bozulmuş ikili, savunucuları saldırgan metodolojilerini anlamaya yaklaştırır, daha hızlı tehdit azaltma ve daha iyi koruma mekanizmalarını sağlar.
Yine de, savaş, Lumma’nın kodlanmış dizelerinde görüldüğü gibi, kontrol akışı düzleştirme veya veri gizleme gibi gelişmiş yöntemler getirerek kazanılan obfuscators gelişmekten uzaktır.
Floss gibi araçlar otomatik kod çözme için umut sunar, ancak insan elemanı kritik kalır.
Mantiant’ın Lummac2’deki ilham kaynağı ile vurgulandığı gibi, ters mühendislik alanı yenilik ve sebat üzerinde gelişiyor.
Şimdilik, gözetleme deliği deobfuscation pratik bir taban sunuyor, analistlere aksi takdirde geçilemez ikili dosyalarla mücadele etmeleri ve bu sonsuz dijital çatışmada bir adım önde kalmaları için güçlendiren analistler sunuyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!