Kaspersky’nin Küresel Araştırma ve Analiz Ekibinden araştırmacılar, kötü amaçlı yazılımlara yönelik tersine mühendislik işlemlerinin karmaşık sürecini kolaylaştırmak ve basitleştirmek için tasarlanan “hrtng” adlı yeni ve güçlü bir IDA Pro eklentisini yayınladı.
Artık GitHub’da GPLv3 lisansı altında mevcut olan bu açık kaynaklı araç, dünya çapındaki siber güvenlik uzmanları ve kötü amaçlı yazılım analistleri için oyunun kurallarını değiştirecek vaat ediyor.
hrtng yalnızca başka bir eklenti değildir; karmaşık kötü amaçlı yazılım örneklerini incelemek için özel olarak tasarlanmış kapsamlı bir araç setidir. Eklenti başlangıçta Milan Bohacek tarafından hexrays_tools eklentisinin çatallanmasıyla geliştirildi ve son derece deneyimli bir tersine mühendis olan Sergey Belov tarafından önemli geliştirmeler yapıldı.
Yıllar geçtikçe, hrtng, dize şifre çözme, karmaşık derlemeleri derleme ve en son IDA SDK sürümleriyle uyumluluğu sağlamak için sıklıkla terk edilen eklentilerden gelen yetenekleri entegre etme gibi IDA Pro’da bulunmayan özellikleri içerecek şekilde gelişti.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Hrtng’nin Temel Özellikleri
2016’dan bu yana geliştirilmekte olan hrtng eklentisi, özellikle kötü amaçlı yazılım analizi için tasarlanmış çok çeşitli özellikler sunar:
Dize Şifre Çözme: Eklenti, şüpheli içeriği gizlemek için kötü amaçlı yazılımlar tarafından yaygın olarak kullanılan karmaşık dizelerin şifresini çözebilir.
Gizlenmiş Montajların Ayrıştırılması: hrtng karmaşık, gizlenmiş kodu kaynak koda dönüştürebilir, böylece analistlerin kötü amaçlı yazılımın işlevselliğini anlamasını kolaylaştırır.
API Hash Tanıma: Eklenti, kötü amaçlı yazılımların niyetlerini gizlemek için sıklıkla kullandığı bir teknik olan API işlevi karmalarını otomatik olarak tanımlar ve etiketler.
Kod Güzelleştirme: hrtng, parantezleri vurgulayarak ve aralarında kolay gezinmeyi sağlayarak kodun okunabilirliğini artırır.
MSIG İşlev Tanıma: Geleneksel FLIRT imzalarından farklı olarak, hrtng, kaynak koda dönüştürülmüş kodu temel alan MSIG teknolojisini kullanır ve bu, yoğun şekilde gizlenmiş ikili dosyalarda daha sağlam işlev tanımlamasına olanak tanır.
Kaspersky araştırmacıları, eklentinin yeteneklerini göstermek amacıyla gelişmiş FinSpy casus yazılımının bir bileşenini analiz etmek için hrtng’yi kullandı. Eklentinin birkaç önemli alanda paha biçilmez olduğu kanıtlandı:
- Kabuk kodunun şifresini çözme ve yükü boşaltma
- API karmalarını tanımlama ve etiketleme
- Hatalı biçimlendirilmiş PE yapılarını ayrıştırma ve düzeltme
- Parçalayıcıların kafasını karıştırmak için eklenen gereksiz kodun kaldırılması
- Sanallaştırma tabanlı gizlemeyi kaynak koda dönüştürme ve analiz etme
Genellikle önemli miktarda zaman ve çaba gerektiren bu görevler, hrtng’nin otomatikleştirilmiş özellikleri kullanılarak verimli bir şekilde gerçekleştirildi.
Hrtng’nin piyasaya sürülmesinin kötü amaçlı yazılım analizi alanını önemli ölçüde etkilemesi bekleniyor. Eklenti, sıkıcı ve zaman alıcı görevleri otomatikleştirerek analistlerin daha üst düzey analizlere ve tehdit değerlendirmesine odaklanmasına olanak tanır. Bu, yeni kötü amaçlı yazılım tehditlerinin daha hızlı tanımlanmasına ve azaltılmasına yol açabilir.
hrtng artık GitHub’da ücretsiz olarak mevcut ve kaynak kodunu, ikili dosyaları ve belgeleri içeriyor. Kaspersky ekibi, siber güvenlik topluluğunu projeye katkıda bulunmaya teşvik ediyor; bu da daha fazla geliştirme ve özelliğe yol açabilir.
Kötü amaçlı yazılımların karmaşıklığı arttıkça, hrtng gibi araçlar siber tehditlere karşı devam eden savaşta giderek daha önemli hale geliyor. Kaspersky, bu güçlü eklentiyi açık kaynak olarak kullanarak, küresel siber güvenlik topluluğunu, gelişmiş kötü amaçlı yazılımlarla daha etkili bir şekilde mücadele edebilecek gelişmiş yeteneklerle güçlendiriyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses