
Ekim 2025’teki halka çıkışından bu yana, kabus Statik ve dinamik analiz iş akışlarını kolaylaştırmak isteyen kötü amaçlı yazılım analistleri için kısa sürede hayati bir araç haline geldi.
Elastic Security Labs tarafından geliştirilen kabus, olgun açık kaynaklı tersine mühendislik bileşenlerini birleşik bir Python API altında bir araya getiriyor.
Kabus, kullanıcıları farklı bağımlılıklarla uğraşmaya zorlamak yerine, sökme için rz-pipe aracılığıyla Rizin’i ve hafif emülasyon için Unicorn motorunu kullanıyor.
Bu uyumlu tasarım, araştırmacılara hızlı bir şekilde konfigürasyon çıkarıcıları oluşturma, IoC’leri bölme ve yinelenen analiz görevlerini otomatikleştirme olanağı sağlar.
Elastic’in dahili araçları genelinde kod tekrarını azaltma ihtiyacından ortaya çıkan kabus, binlerce örnek analizi üzerinde yoğunlaşan uygulamalara dayanıyor.
Elastik analistler, birçok özel komut dosyasının kırılgan bağımlılık zincirlerinden ve tutarsız soyutlamalardan muzdarip olduğunu belirtti.
NightMARE, model eşleştirme, talimat emülasyonu ve çapraz referans numaralandırma gibi ortak kalıpları sağlam bir kitaplık içinde kapsülleyerek, hem tecrübeli hem de acemi tersine mühendisler için sağlam bir temel sağlar.
Kurulumun ardından kabus üç ana modülü ortaya çıkarır: analiz, çekirdekVe kötü amaçlı yazılım. Analiz modülü, sökme, altıgen desen aramaları ve işlev numaralandırmayı etkinleştirmek için Rizin’i entegre eder.
Çekirdek modül, bit düzeyinde işlemler, normal ifade tabanlı çıkarma ve veri yayınlama için yardımcı programlar sunar.
Son olarak, kötü amaçlı yazılım modülü, Smokeloader’dan LUMMA’ya kadar aileye özel çıkarıcıları, API’nin gerçek dünyadaki kullanımlarını gösteren sürümlendirilmiş alt paketler halinde gruplandırır.
Elastic araştırmacıları, 2025’in ortalarında LUMMA hırsızlığı kampanyalarında önemli bir artış tespit ederek, hızlı konfigürasyon çıkarmanın değerini vurguladı.
Nightmare’in emülasyon yetenekleri sayesinde analistler bir WindowsEmulator başlatabilir, Sleep gibi API’lerdeki İçe Aktarma Adres Tablosu (IAT) kancalarını kaydedebilir ve hedeflenen kod dizilerini saniyeler içinde yürütebilir.
nightMARE, işlem sırasında şifre çözme rutinlerini yakalayarak, manuel açma veya hata ayıklayıcı odaklı izleme olmadan C2 etki alanlarının kurtarılmasını otomatikleştirir.
Enfeksiyon Mekanizması ve Emülasyona Dayalı Ekstraksiyon
nightMARE’in emülasyon çerçevesi, tam ölçekli korumalı alana hafif bir alternatif sunar. C2 şifre çözme işlemine geçmeden önce kötü amaçlı yazılımın Uyku’yu çağırdığı yaygın tekniği göz önünde bulundurun.
Aşağıdaki kod parçacığı, nightMARE’in WindowsEmulator’ının bir LUMMA örneğinde Uyku’yu nasıl yakaladığını, zamanlama davranışını yakaladığını ve kesintisiz öykünmeyi nasıl etkinleştirdiğini gösterir: –
import pathlib
from nightMARE.analysis import emulation
def sleephook(emu: emulation.WindowsEmulator, args):
print(f"Sleep {emu.unicorn.reg_read(emulation.unicorn.x86_const.UC_X86_REG_ECX)} ms")
emu.do_return()
def main():
path = pathlib.Path(r"C:\samples\DismHost.exe")
emu = emulation.WindowsEmulator(is_32bits=False)
emu.load_pe(path.read_bytes(), stack_size=0x10000)
emu.enable_iat_hooking()
emu.set_iat_hook(b"KERNEL32.dll!Sleep", sleephook)
emu.unicorn.emu_start(0x140006404, 0x140006412)
.webp)
Emülatör, Uyku çağrısını keserek zamanlama karışıklığını aşar ve bir sonraki talimatta yürütmeye devam eder.
İle birlikte emu.get_data()
Ve emu.get_xrefs_from()
Analistler şifre çözme anahtarını ve tek seferlik adresleri yeniden oluşturuyor, bellek arabelleklerini ayırıyor ve kötü amaçlı yazılımın ChaCha20 rutinini doğrudan çağırıyor.
Sonuçta nightMARE, tehdit istihbaratının alınmasına hazır, şifresi çözülmüş bir C2 etki alanı listesi çıkarır.
0.16 sürümüyle Elastic Security Labs, ek API kancaları için emülasyon desteği ekleyerek, model eşleştirme doğruluğunu geliştirerek ve kötü amaçlı yazılım modülü şablonlarını iyileştirerek nightMARE’in repertuarını genişletmeye devam ediyor.
Ortaya çıkan tehditler yeni gizleme ve paketleme planlarından yararlandıkça nightMARE, analiz hatlarını hızlandırmaya ve topluluğun kolektif savunmasını güçlendirmeye hazır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.