Como parte da análise contínua da família Korplug Malware, esta segunda parte se concentra na complexa carga útil do segundo estágio, expandindo as descobertas anteriores dos métodos de carregamento lateral da DLL que usam programas legítimos para executar o código inicialmente.
A carga útil, a DLL malicioso SHA-256 HASH B6B239FE0974CF09FE8EE9BC5D0502174836A79C53ADCCCDBB1ADEB1F15C6845C, mede 638.976 bys (624 kb) e é estruturado como um X86 File.
O segundo estágio ofuscado de Korplug
A análise estática descobre que a função inicializada, desencadeada pelo carregador, apresenta um gráfico de fluxo de controle altamente anômalo (CFG), repleto de ofuscação que frustra a desmontagem e o rastreamento dinâmico.
Este relatório Descreve táticas avançadas de engenharia reversa para desmontar essas barreiras, expondo a mecânica de execução da Korplug e fornecendo inteligência acionável para caçadores de ameaças.
Recordando a fase terminal da análise inicial, a carga útil decodificada imita uma DLL padrão, mas emprega a execução do tipo Shell através da API Enumsystemgeoid, redirecionando o fluxo direto para a função inicializa e ignorando as salvaguardas de carregamento convencional do Windows.
A complexidade do CFG decorre do O-LLVM, uma variante de compilador LLVM personalizada notória por implantar achatamento de fluxo de controle, ramificações falsas e substituição de instruções para evitar a detecção e análise.
Essas técnicas achatam a lógica nos despachantes do estilo de comutador, inserem caminhos de código enganosos e complicaem instruções, elevando Engenharia reversa obstáculos.
As avaliações de deobfuscadores de código aberto, incluindo o Modeflattener, destacaram suas limitações contra essa amostra, necessitando de adaptações personalizadas para processamento eficaz.
Reconstrução do CFG
Para penetrar na ofuscação, os analistas categorizaram os componentes CFG sistematicamente: o bloco pré-dispatcher, identificável por sua alta contagem de antecessores e salto simples para o despachante inicial.
O próprio despachante, que manipula uma variável de estado para resolver caminhos de execução; Blocos de backbone Aplicando verificações variáveis via sequências JMP, MOV, Sub e JZ; e bloqueios relevantes da lógica de malware do núcleo da habitação, dividida em tipos simples (atribuições de MOV codificadas) e condicional (orientado a CMOVZ).
Os blocos de cauda, meros saltos de transição, foram sinalizados para remoção. Essa classificação permitiu que as atribuições variáveis de estado de mapeamento para saltos legítimos, revelando sequências predeterminadas que mantêm a funcionalidade de malware em meio à estrutura achatada.
Aproveitando o python com a estrutura de ângr, o script de deobfuscation automatiza a enumeração do bloco, a catalogação de valor do estado e o patch binário.
Ele substitui saltos ofuscados por instruções diretas ou condicionais, almofadas por NOPs para preservar o alinhamento e exientes despachantes desnecessários e elementos de backbone, produzindo um CFG simplificado que reflete a lógica original.
Essa abordagem não apenas desmistifica o comportamento da Korplug, como transições orientadas a variáveis, permitindo a execução modular, mas também se adapta a ameaças semelhantes de O-LLVM, superando ferramentas como o ModEflattener por meio de reconhecimento de padrões generalizados.
Pós-patching, as táticas, técnicas e procedimentos dos malware (TTPs) se tornam transparentes, ajudando em avaliações de vulnerabilidade e inteligência de ameaças.
Essa metodologia desmascara a sofisticada evasão sofisticada de Korplug, capacitando os defensores a combater os fluxos de controle achatados na evolução das paisagens de malware.
Embora os ajustes específicos da amostra fossem necessários para as ferramentas existentes, a implementação baseada em ANGR oferece uma estrutura robusta e extensível para aplicação mais ampla.
Indicadores de compromisso (IOCs)
| SHA-256 | Descrição |
|---|---|
| B6B239FE0974CF09FE8EE9BC5D0502174836A79C53ADCCDBBB1ADEB1F15C6845C | O conteúdo da amostra analisada, identificada por seu hash sha-256 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!