Golang kötü amaçlı yazılımları analiz etmek için güçlü bir yeni araç

   Nisan 3, 2025  Posted in GBHackers


Kötü amaçlı yazılımları analiz etmek, özellikle Golang gibi programlama dillerinin artan popülaritesi ile giderek daha zor hale geldi.

Golang veya Go, geliştiricileri kapsamlı özellikleri için büyüledi, ancak gömülü kütüphaneleri, büyük ikili dosyaları ve gizleme potansiyeli sayesinde kötü amaçlı yazılım yazarları için çekici bir seçim olduğu kanıtlandı.

Bu zorluklarla mücadele etmek için Volexity, gizlenmiş Golang kötü amaçlı yazılımlarının ters mühendisliğini basitleştirmek için tasarlanmış yenilikçi, açık kaynaklı bir araç olan Goresolver’ı tanıttı.

Kötü amaçlı yazılım geliştirmede Golang’ın yükselişi

Golang, gömülü kütüphanelerle ikili dosyalar üretme yeteneği nedeniyle kötü amaçlı yazılım geliştiricileri için tercih edilen bir dil olarak ortaya çıkmış ve bunların yapısökümlerini zorlaştırmıştır.

Tersine mühendisler genellikle büyük boyutları ve karmaşıklıkları nedeniyle Golang ikili dosyalarını analiz etmekle mücadele ederler. Bu zorluk, Garble gibi gizleme araçları işlevi ve paket adlarını gizlemek için kullanıldığında birleşir.

Garble’ın gizleme özellikleri, manuel statik analizi sıkıcı ve zaman alıcı hale getirerek isimleri çizer ve isimleri randomize eder.

Garble Obfuscation Özellikleri AnaliziGarble Obfuscation Özellikleri Analizi
Garble Obfuscation Özellikleri Analizi

Volexity’nin araştırmaları sık sık GoLang kötü amaçlı yazılımlarla karşılaşır ve bu tür şaşkınlıkların yarattığı zorlukları ele almak için ileri çözümlere ihtiyaç duyulur. Goresolver bu ihtiyaca yanıt olarak geliştirildi.

Goresolver’ı tanıtmak

Goresolver, gizlenmiş işlev adlarını çözmek için kontrol akışı grafik benzerlik tekniklerinden yararlanan çığır açan bir açık kaynaklı araçtır.

Bir ikili yürütme sırasında aldığı yolları analiz ederek Goresolver, gizlenmiş ve temiz ikili dosyaların kontrol akışı grafikleri arasındaki benzerlikleri belirleyerek, aksi takdirde kaybolacak sembol bilgilerini geri yükleyebilir.

Bu yaklaşım, kötü amaçlı yazılım örneklerini tersine çevirme yeteneğini önemli ölçüde artırır.Bu yaklaşım, kötü amaçlı yazılım örneklerini tersine çevirme yeteneğini önemli ölçüde artırır.
Bu yaklaşım, kötü amaçlı yazılım örneklerini tersine çevirme yeteneğini önemli ölçüde artırır.

Goresolver’ın temel özellikleri şunları içerir:

  • Sembol kurtarma: Gizli işlev ve paket adlarını alır.
  • Kontrol akışı grafik analizi: Orijinal sembol bilgilerini kurtarmak için grafik benzerliklerini tanımlar.
  • Popüler araçlarla entegrasyon: İçin eklentiler sağlar Ida Pro Ve Rehber iş akışlarını kolaylaştırmak için.
  • Açık kaynaklı erişilebilirlik: GitHub’da indirilebilir, işbirliğini ve sürekli iyileştirmeyi teşvik eder.

Image3Image3

Garble şaşkınlıkla mücadele

Garble, benzersiz zorluklar sunan yaygın olarak kullanılan bir Golang Obfusator’dur. Sembol tablolarını soyur ve isimleri rastgele ederken, gizleme, Goresolver’ın sömürebileceği kalıpları ortaya çıkarır.

Örneğin, Garble’ın randomize adları bir paket içinde tutarlı kalmalı ve analistlerin paket kimliklerini çıkarmalarını sağlayan.

Bu mantığı kullanarak Goresolver, işlevleri ilgili paketleriyle ilişkilendirerek sembol kurtarmayı geliştirir.

Ek olarak, Goresolver, golang çalışma zamanı sürümleri ile parmak izi ile gizleme sınırlamalarını atlar.

Çalışma zamanı parçaları arasındaki benzerlikleri test ederek Goresolver, kötü amaçlı yazılımları derlemek için kullanılan tam Golang versiyonunu etkili bir şekilde tanımlar ve doğru ikili analiz sağlar.

Volexity, garble takviyeli bir STOWAWAWAWAWAWAWAWAWAWAY ARAŞTIRMASINI analiz ederek Goresolver’ın yeteneklerini gösterdi. Başlangıçta, sökülmüş ikili dosyalar, analizi karmaşıklaştıran jenerik isimler içeriyordu.

Goresolver’a gönderildiğinde, araç çalışma zamanı parmak izi ile Golang versiyonunu tanımladı ve gizlenmiş sembolleri çözdü.

Kontrol akışı grafiği benzerliğini kullanan Goresolver, analistlerin çalışma zamanı ve kütüphane yöntemlerinden ziyade kötü amaçlı yazılımların temel mantığına odaklanmalarını sağlayarak anlamlı işlev adlarını ve paket ilişkilerini geri yükledi.

Ida Pro ve Ghidra ile entegrasyon

İş akışlarını hızlandırmak için Goresolver, en yaygın kullanılan tersine mühendislik platformlarından ikisi IDA Pro ve Ghidra için eklentiler sunuyor.

SRE eklentileriSRE eklentileri
SRE eklentileri

Analistler, örnekleri doğrudan araçlar içinde analiz etmek veya önceden oluşturulan sembol raporlarını içe aktarma arasında seçim yapabilirler. Bu eklentiler, kötü amaçlı yazılım analiz işlemlerine sorunsuz entegrasyon sağlayarak verimliliği artırır.

Ghidra'yı kullanırken aşağıdaki diyaloglar gösterilmiştirGhidra'yı kullanırken aşağıdaki diyaloglar gösterilmiştir
Ghidra’yı kullanırken aşağıdaki diyaloglar gösterilmiştir

Goresolver, ters mühendislik gizlenmiş Golang kötü amaçlı yazılımların artan zorluğunu ele alan öncü bir araçtır.

Sembol çıkarma tekniklerini kontrol akışı grafik analiziyle birleştirerek Goresolver, kayıp sembol bilgilerini almak ve ikili düzenleri anlamak için eşsiz özellikler sunar.

Siber güvenlik analistlerine, adli araştırmaların verimliliğini artırarak temel kötü amaçlı yazılım işlevselliğine odaklanmalarını sağlar.

Volexity, otomatik Golang dize ayrıştırma ve geliştirilmiş ikili analiz gibi özellikler de dahil olmak üzere Goresolver’ın yeteneklerini genişletmeyi planlıyor.

Araç GitHub’a indirilebilir ve depo yeni özellikler ve geliştirmelerle güncellenmeye devam edecektir.

Golang kötü amaçlı yazılımlarla mücadele eden siber güvenlik profesyonelleri için Goresolver, arsenallerinde olmazsa olmazdır, bu da ortaya çıkan tehditlerle etkili bir şekilde mücadele etmek için daha derin bilgiler ve daha hızlı analiz sağlar.

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!



Source link