Elastic Security Labs, kötü amaçlı yazılım analizini ve tersine mühendislik iş akışlarını kolaylaştırmak için tasarlanmış kapsamlı bir Python kitaplığı olan nightMARE sürüm 0.16’yı resmi olarak yayınladı.
Açık kaynaklı araç, birden fazla analiz yeteneğini tek bir çerçevede birleştirerek güvenlik araştırmacılarının yaygın kötü amaçlı yazılım ailelerinden yapılandırma verilerini ve istihbarat göstergelerini daha verimli bir şekilde çıkarmasına olanak tanır.
nightMARE’in geliştirilmesi, kötü amaçlı yazılım analistlerinin karşılaştığı kritik bir zorluğa çözüm getiriyor: çok sayıda bağımlılığı yönetmek ve analiz araçları genelinde kod tekrarını azaltmak.
Daha önce, Elastic Security Labs, yürütülebilir ayrıştırma için LIEF, sökme için Capstone ve çapraz referans analizi için SMDA dahil olmak üzere ayrı Python modüllerine dikkat çekmişti. Bu parçalı yaklaşım, bakım karmaşıklıkları ve iş akışı verimsizlikleri yarattı.
Bu sorunu çözmek için geliştirme ekibi, birincil arka uç olarak Radare2’den çatallanan açık kaynaklı bir tersine mühendislik çerçevesi olan Rizin’i entegre etti.
Rizin’in modüler mimarisi, kapsamlı özellik seti ve komut tabanlı arayüzü, araştırmacılara rz-pipe modülü aracılığıyla kusursuz Python entegrasyonuna olanak tanıyan güçlü analiz yetenekleri sağlar.
Bu birleştirme, analitik işlevselliği genişletirken üçüncü taraf bağımlılıklarını da önemli ölçüde azaltır.
Kütüphanenin mimarisi üç temel modül halinde düzenlenmiştir. Analiz modülü, sökme ve talimat emülasyonu yoluyla statik ikili analizi gerçekleştirir.
Çekirdek modül, bit düzeyinde işlemler, tamsayı dönüşümü ve yinelenen normal ifade kalıplarını kullanarak yapılandırma çıkarımı için temel yardımcı programları sağlar.
Kötü amaçlı yazılım modülü, kötü amaçlı yazılım ailesi ve sürümüne göre düzenlenen, şifreleme işlevlerini, paket açma rutinlerini ve yapılandırma çıkarıcılarını kapsayan algoritma uygulamalarını içerir.
Emülasyon ve Tersine Çevirme
nightMARE, farklı tersine mühendislik senaryolarına yönelik iki tamamlayıcı analiz tekniği sunar. Tersine çevirme modülü, Rizin’in işlevselliği üzerinde bir soyutlama katmanı sağlayarak, yaygın olarak kullanılan özellikleri derin çerçeve bilgisi gerektirmeden ortaya çıkarır.
Analistler, temeldeki Rizin komutlarını otomatik olarak işleyen basit işlev çağrıları aracılığıyla kalıp eşleştirme, sökme, çapraz referans analizi ve veri çıkarma işlemlerini gerçekleştirebilir.
Sürüm 0.16’da yeniden oluşturulan emülasyon modülü, kötü amaçlı yazılım örneklerinden kod parçacıkları yürütmek için Rizin’in Unicorn motorunun yanı sıra yeteneklerinden de yararlanıyor. İkili dosya şu adreste Uyku içe aktarımını kullanır: 0x140006404
WindowsEmulator sınıfı, tam sistem emülasyonu yerine belirli kod dizilerini yürütmeye odaklanan hafif PE emülasyonu sağlar.
Bu yaklaşımın, yığında manuel olarak veri oluşturan veya özel şifreleme işlevleri uygulayan karartılmış kötü amaçlı yazılımları analiz ederken özellikle değerli olduğu kanıtlanıyor.
Analistler, karmaşık algoritmaları manuel olarak yeniden uygulamak yerine, kontrollü bir emülasyon ortamında doğrudan kötü amaçlı yazılımın kendi işlevlerini çağırabilirler.
Bu emülasyon yeteneği önemli pratik avantajlar göstermektedir. Örneğin, şifrelenmiş verileri yığına manuel olarak aktaran kötü amaçlı yazılımları analiz ederken, araştırmacılar her talimatı titizlikle takip etmek yerine tüm kod bloğunu taklit edebilir ve şifresi çözülmüş sonucu okuyabilir.
Benzer şekilde, özel kriptografik uygulamalarla karşılaşıldığında analistler, tersine mühendislik yapmak ve algoritmaları sıfırdan yeniden uygulamak yerine, kötü amaçlı yazılımın mevcut şifre çözme işlevlerini çalıştırabilir.
NightMARE’in yeteneklerini göstermek için Elastic Security Labs, Mayıs 2025’teki yayından kaldırma operasyonuna rağmen bulaşma kampanyalarında aktif kalan, bilgi çalan kötü amaçlı yazılım olan LUMMA Stealer’dan yapılandırma verilerinin çıkarılmasına yönelik ayrıntılı bir eğitim sağladı.
LUMMA, hem statik hem de dinamik analizi karmaşık hale getirmek için kontrol akışı gizlemeyi ve ChaCha20 şifrelemeyi içerir.
Ekstraksiyon işlemi dört temel adımdan oluşur. İlk olarak, desen eşleştirme, ChaCha20 başlatma kodunu bulur ve şifre çözme anahtarını ve talimat işlenenlerinden nonce’yi çıkarır.
İkinci olarak, şifre çözme işlevi, WinHTTP içe aktarmalarını yükleyen koddaki altıgen kalıpların eşleştirilmesiyle tanımlanır. Üçüncüsü, şifre çözme işlevinden elde edilen çapraz referans analizi, şifrelenmiş komut ve kontrol alanlarının depolandığı temel adresi ortaya çıkarır.
Son olarak emülasyon modülü, alan adlarının şifresini çözmek için doğrudan kötü amaçlı yazılımın kendi ChaCha20 şifre çözme işlevini çağırarak özel şifreleme algoritmasının yeniden uygulanması ihtiyacını ortadan kaldırır.
Bu metodoloji, analiz edilen örnekten dokuz komut ve kontrol URL’sini başarıyla çıkararak nightMARE’in model eşleştirme, sökme ve öykünmeyi uyumlu bir iş akışında birleştirerek analiz süresini nasıl azalttığını gösterdi.
Uygulamanın tamamı projenin GitHub deposunda mevcuttur ve araştırmacılara kendi çıkarıcılarını oluşturma konusunda pratik bir referans sağlar.
0.16 sürümüyle nightMARE, Blister, GhostPulse, Latrodectus, Lobshot, LUMMA, NetWire, RedLine Stealer, Remcos, SmokeLoader, StealC, Strela Stealer ve XorDDos dahil on üç kötü amaçlı yazılım ailesi için yapılandırma çıkarma ve analizini destekler. Her ailenin algoritmaları, kütüphanenin analiz yeteneklerinin pratik uygulamalarını gösteren alt modüller olarak uygulanır.
Elastic Security Labs, kötü amaçlı yazılımların hızla gelişen doğasının devam eden bakım zorlukları sunduğunu kabul ediyor.
Tehdit aktörleri, tespit ve analizden kaçınmak için kötü amaçlı yazılım kodunu sık sık değiştirir; bu da yapılandırma çıkarıcılarda ve algoritma uygulamalarında sürekli güncelleme yapılmasını gerektirir.
Geliştirme ekibi, kapsamın genişletilmesine ve ortaya çıkan kötü amaçlı yazılım çeşitleriyle uyumluluğun korunmasına yardımcı olmak için doğrudan kod gönderimleri veya rapor yayınlama yoluyla topluluk katkılarını memnuniyetle karşılıyor.
nightMARE, araştırmacılara daha önce birden fazla araca dağıtılmış kurumsal düzeyde kötü amaçlı yazılım analizi yetenekleri sunarak açık kaynak güvenlik topluluğuna önemli bir katkıyı temsil ediyor.
Tersine mühendislik işlevlerini Rizin destekli birleşik bir çerçevede birleştiren kitaplık, daha verimli tehdit istihbaratı çıkarma ve kötü amaçlı yazılım araştırma iş akışlarına olanak tanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.