Araştırmacılar, Themida ve VMProtect koruyucularını kullanan altı kötü amaçlı yazılım ailesini analiz etti. Örneklerin hiçbirinde kod sanallaştırma kullanılmadı; bu, yalnızca bir örnekte hata ayıklamayı önleme özelliğinin etkin olması nedeniyle analizi önemli ölçüde basitleştirdi.
Kötü amaçlı yazılım kodunun kendisi, sıkıştırma ve şifre çözmenin ilk aşamaları dışında büyük ölçüde korumasızdı. Neredeyse tüm örnekler şifrelenmiş/karıştırılmış dizelere sahipken, yalnızca iki tanesi C2 sunucularını gizledi.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
RisePro, Themida ve VMProtect gibi koruyucuları kullanan hırsız bir kötü amaçlı yazılımdır. Themida ve VMProtect ile paketlenmiş RisePro numunelerinin analizi, bu koruyucuların basit paketleme için kullanıldığını ve zayıf koruma sunduğunu gösterdi.
Araştırmacılar, kesme noktaları ve hata ayıklayıcıları kullanarak örnekleri açmayı başardılar. Paketten çıkarılan kod, okunabilir kodun yanı sıra şifrelenmiş dizelerin yüklenmesi ve C2 iletişimi gibi işlevleri ortaya çıkardı.
Try all features of ANY.RUN Sandbox for free - Request a 14-day trial
Analiz ayrıca dize koruma işlevinin koruyuculara değil RisePro’ya ait olduğu sonucuna vardı ve PrivateLoader, Amadey, Arkei ve Lumma gibi diğer kötü amaçlı yazılım aileleri için de benzer paket açma teknikleri gözlemlendi.
PrivateLoader örneği, RisePro’nun aksine, C2 sunucu adresinin şifresini çözmek için doğrudan dökümde saklamak yerine basit bir XOR algoritması kullanır; bu, kodu simüle ederek veya bir hata ayıklayıcıyla adım adım ilerleyerek mümkündür.
Arkei örnekleri, analizi engelleyen bir paketleyici olan VMProtect ile paketlenir ve örneğin paketinin açılması, harici kitaplıklardan işlevlerin yüklenmesinden sorumlu okunabilir kodu ortaya çıkarır.
Paketlenmemiş veriler, saldırgan iletişimi için hayati önem taşıyan C2 sunucu adresini içeriyor ve bu da Arkei’nin bir komuta ve kontrol sunucusuyla iletişim kurmak için tasarlanmış kötü amaçlı bir program olduğunu gösteriyor.
VMProtect ile paketlenmiş bir kötü amaçlı yazılım örneği olan Lumma, gizleme teknikleri kullanır. Paketlenmemiş kod, işlevi numaralandırılmış bloklara bölen kontrol akışı düzleştirmesi sergiler.
Bir döngü yinelenerek her geçişte hangi bloğun yürütüleceğini seçer, bu da kodun gerçek işlevselliğini analiz etmeyi zorlaştırır. Ek olarak, döküm içindeki bir C2 sunucu adresi, kötü amaçlı yazılımın iletişim yeteneklerini gösterir.
Themida ile paketlenmiş Amadey kötü amaçlı yazılım örneği, aynı zamanda hata ayıklama önleme mekanizmaları da kullanan kernel.appcore.dll yüklenene kadar bellekteki dizeleri gizler. TitanHide gibi işlevselliğe sahip bir hata ayıklayıcı kullanarak bu kontrolleri atlayıp kernel.appcore.dll yükleme aşamasına ulaşabiliriz.
Bundan sonra standart bellek dökümü teknikleri kullanılabilir. Bununla birlikte, çıkarılan dizeler şifrelenir ve base64 ile kodlanır, ancak orijinal verileri ortaya çıkarmak için daha fazla şifre çözme (Amadey’in özel karıştırma algoritması kullanılarak) ve base64 kod çözme işlemi gerekir.
Themida ve VMProtect ile paketlenmiş kötü amaçlı yazılım örneklerinin analizi bir eğilimi ortaya çıkardı: Genellikle sanallaştırma gibi gelişmiş özelliklere sahip değiller, bu da onları minimum düzeyde şaşırtma sağlayan temel paketleyicilere dayanan tersine mühendislik yapmayı kolaylaştırıyor.
ANY.RUN kimdir?
Buna göre HERHANGİ BİR ÇALIŞMAkötü amaçlı yazılım analizindeki temel zorluklar, paketleme araçlarının kendisinden ziyade, kötü amaçlı yazılımın kendisi tarafından kullanılan dize gizleme ve C2 gizleme gibi gizleme tekniklerinden kaynaklanmaktadır.
ANY.RUN dünya çapında 400.000’den fazla siber güvenlik uzmanına yardımcı olmaktadır. Etkileşimli sanal alanımız, hem Windows hem de Linux sistemlerini hedef alan tehditlerin kötü amaçlı yazılım analizini kolaylaştırır. Tehdit istihbaratı ürünlerimiz, OF Arama, Yara Aramave Akışlar, tehditler hakkında daha fazla bilgi edinmek ve olaylara daha hızlı yanıt vermek için IOC’leri veya dosyaları bulmanıza yardımcı olur.
Easily analyze malware in ANY.RUN sandbox - Register for Free.