Maniant ile işbirliği içinde Google’ın Tehdit İstihbarat Grubu (GTIG), gelişmiş arka kapı aile poison.shadow’u dağıtmak için Çin-Nexus siber casusluk grupları, özellikle APT41 tarafından kullanılan sofistike bir şaşkınlık aracı olan Scatterbrain’e eleştirel bilgiler ortaya koydu.
Bu analiz, daha önceki meslektaşlarından gelen şaşkınlık tekniklerinin önemli evriminin altını çizmektedir. SaçakScatterbrain’i güvenlik savunmalarının kaçmasına ve adli analizi engellemeye birincil katkıda bulunması.
Scatterbrain zehirplug.
Kontrol akışı grafiği (CFG) gizleme, talimat mutasyonu ve tam ithalat koruması gibi sağlam koruma mekanizmaları kullanır.
Bu teknikler, ikili analiz araçlarının kötü amaçlı yazılımları doğru bir şekilde haritalamasını veya kodunu çözememesini sağlayarak standart savunma önlemlerini etkisiz hale getirir.
GTIG ve Mantiant, bu taktikleri karşı koymak ve gizlenmiş ikili işleri orijinal işlevlerine geri yüklemek için yeni bir deobfuscation kütüphanesi geliştirdiler.
Scatterbrain’in koruma mekanizmaları
Scatterbrain, güvenlik yanıtlarını aşamalı olarak karmaşıklaştıran üç koruma seçici, eksiksiz ve tam başsız modda çalışır.
Göze çarpan gizleme mekanizmaları şunları içerir:
- Dinamik talimat görevlileri: Bunlar, yürütme akışını saçılarak ve kontrol akışı dallarını şifreleyerek CFG rekonstrüksiyonunu bozar.
- Opak tahmin ediyor: Aldatıcı basit mantıksal yapılar analiz çerçevelerini karıştırır ve sembolik yürütmeyi bozar.
- İthalat Koruması: Gizli içe aktarma tabloları kütüphane ve API referanslarını şifreleyerek geleneksel hata ayıklamayı etkisiz hale getirir.
En uç noktasında Tamamen başsız Mod, Scatterbrain PE başlıklarını kaldırır, özel yükleyicileri tanıtır ve meta verileri sakatlamak için şifreler.
Mimarisi, hem statik hem de dinamik takımları stymie için titiz mühendislik gösterir.
Savunma karşı önlemleri oluşturmak
GTIG’nin derinlemesine çalışması, koruma mekanizmalarını tersine çevirmek için bağımsız bir statik deobfuscator kütüphanesinin oluşturulmasıyla sonuçlandı.
Temel başarılar şunları içerir:
- CFG kurtarma: Dispatcher eliminasyonu ve fonksiyon yenilenmesi de dahil olmak üzere son teknoloji stratejiler yoluyla yeniden yapılandırılmış bozulmuş kontrol akışları.
- İçe Aktarma Tablosu Restorasyonu: Scatterbrain’in şifre çözme algoritmalarını uygulayarak, tam operasyonel bağlamı geri yükleyerek kurtarılmış şifreli API ve DLL adları.
- İkili yeniden yazma: Düzeltilmiş yer değiştirme ve restore edilmiş orijinal ithalat ile tamamen işlevsel, bozulmuş yürütülebilir.
Birkaç zehir.
Güvenlik analistleri için işlev düzeyinde bilgileri geri yükleyen eskiden anlaşılmaz bir ikili, tamamen okunabilir ve yürütülebilir bir duruma dönüştü
Scatterbrain gelişmeye devam ettikçe, bir anti-forsik aracı olarak etkinliği, Çin-Nexus tehdit aktörlerinin artan sofistike olduğunu vurgular.
Mekanizmalarının açıklanması, gelişmiş gizleme teknikleriyle mücadelede kritik bir kilometre taşını temsil eder.
GTIG’nin çabaları, siber güvenlik metodolojilerinde sürekli inovasyon ihtiyacının altını çizerek endüstrinin esnekliğini güçlendiriyor.
Poisonplug için uzlaşma göstergeleri (IOC’ler).
Daha fazla teknik keşif için GTIG, siber güvenlik topluluğundaki işbirliğini gelişen düşman tekniklerine uyum sağlamaya teşvik eder.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene