Siber güvenlik altyapısı için bir dönüm noktası geliştirmesinde, Google’ın Maniant yan kuruluşu, Go tabanlı kötü amaçlı yazılımlarda gelişmiş dize şifreleme tekniklerini nötralize etmek için tasarlanmış açık kaynaklı bir bozulma çerçevesi olan Gostringungarbler’i tanıttı.
Bu yenilik, gelişmiş gerçek dönüşümler ve kontrol akışı manipülasyonu yoluyla kötü amaçlı yazılım analizini karmaşıklaştıran giderek yaygınlaşan bir gizleme derleyicisi olan Garble kullanılarak gizlenmiş ikili dosyaları hedeflemektedir.
Garble’ın Gizli Mimarisi
Garble derleyici, program semantiğini korurken derleme sırasında kaynak kodunu dönüştürmek için Go’s Go/AST kütüphanesinden soyut sözdizimi ağacı (AST) manipülasyonunu uygular.
-Literaller bayrağı dört ana dize dönüşüm metodolojisini etkinleştirir:
Stack Dönüşümleri
Bu kategoride üç şifreleme varyantı kullanılır:
Basit dönüşüm: Rastgele üretilen bir matematik operatörü ve giriş dizesine rastgele oluşturulmuş bir aynı uzunluk anahtarı kullanan bu dönüşüm, bayt-byte kodlama uygular.
Takas dönüşümü: Bayt çifti değiştirme ve konuma bağlı kodlama, yerel olarak üretilen tuşlar kullanılarak bayt çiftlerini karıştıran ve şifreleyen bu dönüşümde birleştirilir.
Karışık dönüşüm: OBFRAND.PERM ve XOR tabanlı konum eşleme üzerinden indeks karıştırmayı içeren çok katmanlı permütasyon.
Tohum dönüşümü
Her baytın şifre çözme işleminin sürekli değiştirilmiş bir tohum değeri yoluyla önceki işlemlere bağlı olduğu zincirlenmiş şifreleme uygular.
Çalışma zamanı uygulaması, ayrışma çıkışlarında görünür olan iç içe işlev çağrı zincirlerini oluşturur.
Bölünmüş dönüşüm
Parçalar, anahtar ifadelerinden inşa edilen bir durum makinesinden işlenen rastgele boyutlandırılmış parçalara dizilir.
Şifre çözme, global şifreleme parametrelerinden türetilen pozisyona bağlı XOR tuşlarını uygularken parçaların yeniden monte edilmesini içerir.
Gostringungarbler’in Deobfuscation Motoru
Mendiant’ın çözümü, statik patern tanımayı dinamik emülasyonla birleştirir Garble’ın savunmalarını atlamak için:
Alt rutin tanımlama
Araç, şifre çözme rutinlerini tespit etmek için Go’s RunTime_SLiceByTetOString işlevinin etrafındaki talimat kalıplarını kullanır.
X64 ikili dosyaları için, tutarlı kayıt kullanımı (RBX = String Pointer, RCX = uzunluk), normal ifadelerle imza tabanlı algılama sağlar:
Tek boynuzlu at tabanlı öykünme
Tanımlanan alt rutinler, düz metin dizelerini çıkarmak için tek boynuzlu at motorunun izole ortamında yürütülür.
Çerçeve, alt rutin prologlarından runtime_slicebytetostring çağrılarına taklit ederek Garble’ın yığın manipülasyonunu ve kontrol akışı yönlendirmelerini işler.
İkili yama
Şifreli dizeler, orijinal şifre çözme mantığının yerini alan optimize edilmiş montaj saplamaları kullanılarak ikili içine yeniden enjekte edilir.
Bu yerinde yama stratejisi, Garble’ın yığın tahsislerini kesit değişiklikleri olmadan düz metin dizelerini saklamak için kullanır.
Operasyonel etki
Erken test, Gostringungarbler’in PE/ELF formatlarında Go V1.21-1.23’ten ikili dosyaları başarıyla işlediğini gösterir.
Aracın Yara Kuralları (Mantiant’ın Github’unda mevcuttur), Garble Korunmuş Örneklerin Hızlı Tanımlanmasını Sağlar.
Ters mühendisler için otomatik bozulma:
- Dize çıkarma için manuel hata ayıklama oturumlarını azaltır
- API çağrıları, yapılandırma parametreleri ve C2 parmak izlerini ortaya çıkarır
- Daha hızlı kötü amaçlı yazılım aile kümelenmesini kolaylaştırır
Gelecekteki Gelişim
Şu anda yığın/shuffle dönüşümleri için optimize edilmiş olsa da, Mantiant desteği genişletmeyi planlıyor:
- Yeni GO derleyici sürümleri için modüler eklenti mimarisi
- Goroutine bazlı şaşkınlığın gelişmiş kullanımı
- Eklenti API’leri aracılığıyla IDA Pro/Ghidra ile entegrasyon
Güvenlik ekipleri, Garble-Obfuscated kötü amaçlı yazılımlar için algılama oranlarını artırmak için mevcut EDR çözümlerinin yanı sıra Gostringungarbler’i kullanabilir.
Gostringungarbler artık GitHub’daki Apache 2.0 lisansı altında mevcut.
Aracın serbest bırakılması, Go’nun derleme ekosisteminin saldırgan operasyonlar için artan kötüye kullanımına karşı kritik bir ilerlemeyi işaret ediyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free