LummaC2 Stealer, özellikle kripto para cüzdanlarından ve çeşitli web tarayıcılarındaki 2FA uzantılarından gelen hassas verileri hedeflemek için tasarlanmış, gelişmiş bir bilgi hırsızlığı yapan kötü amaçlı yazılımdır.
Bu hırsız 2022’nin sonlarında keşfedildi ve tehdit aktörlerinin onu farklı fiyat aralıklarında satın almasına olanak tanıyan bir “MaaS” olarak çalışıyor.
Google ve Mandiant güvenlik ekipleri yakın zamanda LummaC2 hırsızının yürütme için özelleştirilmiş kontrol akışı yönlendirmesinden aktif olarak yararlandığını keşfetti.
LummaC2 Hırsızı Özelleştirilmiş Kontrol Akışının Kötüye Kullanılması
“LummaC2” (‘LUMMAC.V2’) hırsızı, yürütme yolunu değiştirmek için “özelleştirilmiş kontrol akışı yönlendirmesini” kullanır ve geleneksel kontrol akışı düzleştirme üzerine inşa edilmiştir.
Bu teknik, “IDA Pro” ve “Ghidra” gibi ikili analiz araçlarını etkili bir şekilde önleyerek ‘tersine mühendislik’ ve ‘otomatik tespit’ çalışmalarını önemli ölçüde kısıtlıyor.
Buna karşı koymak için güvenlik analistleri, sembolik geriye dilimlemeyi kullanan bir “otomatik kod gizleme yöntemi” geliştirdiler.
Yaklaşımları öncelikli olarak, korunan işlevler içindeki orijinal talimatlar ile şaşırtma aracının enjekte ettiği “gönderici talimatları” arasında ayrım yapmaya odaklanır.
Araştırmacılar, “sevk görevlisi talimatlarını” izole etmelerine ve “dolaylı kontrol transferlerini” nasıl hesaplayacaklarını belirlemelerine olanak tanıyan geriye doğru izleme gerçekleştirmek için “Triton sembolik yürütme motorundan” yararlandı.
Gizleyici, aşağıdakiler gibi çeşitli dağıtıcı blok türlerini kullanır: –
- Kayıt tabanlı
- Bellek tabanlı
- Karışık sıralı düzenler
- Özel koşullu dağıtıcılar (standart mantık, döngüler ve sistem çağrısı yönetimi için)
Derinlik öncelikli arama (DFS) geçiş algoritması ve koşullu atlamaların stratejik yönetimi yoluyla orijinal kontrol akışını yeniden yapılandırarak, örnekleri kapsamlı statik ikili analiz için uygun bir formatta yeniden oluşturmak ve karmaşıklığını kaldırmak mümkündür.
Bu yöntem, güvenlik ekiplerine, gelişen “LummaC2” tehdidinin daha etkili bir şekilde analiz edilmesine ve tespit edilmesine olanak tanıyan temel bilgiler sağlar.
Bunun yanı sıra, kod gizleme, program semantiğini korurken, kodlayıcı tarafından eklenen öğeleri kaldırarak orijinal işlevleri yeniden yapılandırır.
Bu süreç, gizliliği kaldırılmış talimatların giriş noktasından başlayarak korunan fonksiyonun üzerine yazıldığı talimatın yeniden yazılmasını içerir.
Dolaylı atlamaların iki durumu ele alınmaktadır; koşulsuz dağıtım blokları ve koşullu dağıtım blokları; ikincisi, setcc talimatlarına dayalı olarak orijinal atlama tipinin (‘jz,’ ‘jnz,’ ‘jl’) belirlenmesini gerektirir. Yeniden oluşturma işlemi, dağıtıcı talimatlarını ve kopyalarını hariç tutar.
Gizleyici kodun kaldırılmasından sonra yeni talimat konumlarını hesaba katmak için belleğe referans veren talimatları (atlamalar, çağrılar) ayarlayarak ofset yeniden konumlandırmayı takip eder.
Bu teknik “LummaC2 kötü amaçlı yazılımına” uygulandı ve burada orijinal talimatları tanımlamak ve dağıtıcı kodunu ortadan kaldırmak için “geriye dilimleme” ve “sembolik yürütme”yi kullanıyor.
Süreç, gizliliği kaldırılmış işlevlerin, gizlenmiş olanlardan daha az yer kaplamasını ve kalan alanın derleyici dolgusu (“0xCC talimatları”) tarafından doldurulmasını sağlar.
Bu yöntem, tersine mühendislik ve kötü amaçlı yazılım analizinde “geriye dilimlemenin” daha geniş uygulanabilirliğini göstermektedir.
Uzlaşma Göstergeleri
MD5 | İlişkili Kötü Amaçlı Yazılım Ailesi |
d01e27462252c573f66a14bb03c09dd2 | LUMMAC.V2 |
5099026603c86efbcf943449cd6df54a | LUMMAC.V2 |
205e45e123aea66d444feaba9a846748 | LUMMAC.V2 |
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin