Microsoft, siber güvenlik analistlerinin pas ikili dosyalarında gizlenmiş kötü amaçlı yazılımları tanımlamasına ve analiz etmesine yardımcı olmak için tasarlanmış çığır açan bir açık kaynaklı araç olan Rift (Rust Kimlik ve Fonksiyon Etiketleme) yayınladı.
Summary
1. RIFT - Microsoft's open-source tool to analyze Rust-based malware like BlackCat and Hive ransomware.
2. Rust binaries have 10,000+ functions, making traditional malware analysis difficult.
3. Three-part system with IDA Pro integration for metadata extraction and signature generation.
4. Successfully tested on real malware, it helps analysts focus on malicious code only.Siber güvenlik topluluğu, son beş yılda pas tabanlı kötü amaçlı yazılım gelişimine doğru önemli bir kaymaya tanık oldu.
Dikkate değer örnekler arasında Aralık 2021’deki Blackcat fidye yazılımı, ardından Hive fidye yazılımı Haziran 2022’de Rust’ta yeniden yazılıyor.
.png
)
Daha yakın zamanlarda, Asyncrat kötü amaçlı yazılım ailesi ve Ralord fidye yazılımı, dilin siber suçlular arasında artan çekiciliğini gösteren pas benimsedi.
Rust’un bellek güvenliği, tip güvenliği ve eşzamanlılık özellikleri, meşru geliştirme için cazip hale getirir, ancak aynı özellikler kötü amaçlı yazılım analistleri için önemli zorluklar yaratır.
Geleneksel programlama dillerinden farklı olarak, pas ikili dosyaları tipik olarak statik olarak bağlantılıdır ve 20KB’nin altında 100’den az fonksiyon ve boyuta sahip C ++ programlarına kıyasla, yaklaşık 10.000 işlev içerebilirken, 3 MB’lık yürütülebilebilen kapsamlı kütüphane kodu içerir.
Pas ikili analizi için gelişmiş yetenekler
Rift, IDA Pro entegrasyonu için tasarlanmış sofistike üç bileşenli bir mimari aracılığıyla bu zorlukları ele alıyor.
Rift statik analizör, Rust derleyici işgücü karma, gömülü bağımlılıklar, hedef mimari ve ikili dosyalardan işletim sistemi bilgileri dahil olmak üzere kritik meta verileri çıkaran bir IDA Pro eklentisi olarak hizmet eder.
Rift jeneratör bileşeni, flört imza üretimi ve ikili diffing dahil olmak üzere en karmaşık işlemleri otomatikleştirir.
Cargo (Rust Paket Yöneticisi), Hexray’ın Flair Tools (SigMake.exe ve PCF.EXE), IDA’nın komut satırı arabirimi (idat.exe) ve açık kaynaklı Diphora aracı gibi temel araçlar etrafında bir sargı olarak işlev görür.
Bu otomasyon, Coff dosyalarının ve RLIB dosyalarının (TAR’ye benzer püre spesifik arşiv formatı) çıkarılmasını ve işlenmesini sağlar.
Rift Diff Applier, analistlere, hem etkileşimli hem de otomatik renam modlarında yapılandırılabilir benzerlik eşiklerine sahip çalışan ikili farklılık sonuçlarını uygulamak için etkileşimli bir arayüz sağlar.
Rift’in Ralord fidye yazılımı ve Spica Backdoor gibi gerçek dünya tehditleri üzerinde saha testi önemli verimlilik iyileştirmeleri göstermiştir.
Araç, saldırgan tarafından yazılmış kod ve standart kütüphane işlevleri arasında başarılı bir şekilde ayrım yaparak analistlerin iyi huylu kütüphane kodunu tanımlamak için zaman harcamak yerine kötü niyetli mantığa odaklanmalarını sağlar.
Rift’in flört imzaları yaklaşımı, düşük yanlış pozitif oranlarla son derece güvenilir bir ek açıklama sağlarken, ikili farklılık metodolojisi, sıkı imza eşleşmesinin başarısız olduğu durumlar için daha geniş bir kapsam sunar.
Bu ikili yaklaşım, farklı kötü amaçlı yazılım varyantları ve derleme senaryolarında kapsamlı analiz yetenekleri sağlar.
Açık kaynaklı Rift ile Microsoft, küresel siber güvenlik savunmalarını pas tabanlı kötü amaçlı yazılım tehdidine karşı güçlendirmeyi amaçlıyor ve güvenlik topluluğuna giderek daha sofistike siber tehditlerle mücadele etmek için temel araçlar sağlıyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi