TTL OSINT

25.09.2024 484 2 мин.

LummaC2: Обфускация с помощью косвенного потока управления

Вредоносная программа LummaC2 использует сложную технологию обфускации потока управления с использованием настраиваемой косвенности потока управления, что значительно затрудняет бинарный анализ и инструменты автоматизации. Этот уровень защиты создан с использованием обфускирующего компилятора, который преобразует вредоносное ПО в защищенное представление, делая его более устойчивым к анализу и взлому. Обфускатор вводит "диспетчерские блоки", которые направляют поток управления защищенными функциями, изолируя и разбивая логику выполнения на несвязанные серии блоков. Наиболее распространенная схема диспетчера использует блоки диспетчера на основе регистров, которые обычно включают инструкции mov для извлечения значений из вредоносной программы.раздел данных, арифметические операции и косвенный переход к динамически вычисляемому значению, хранящемуся в регистре. Эти диспетчерские блоки могут быть разделены на безусловные и условные типы, причем в последнем случае выбирается одно из двух возможных кодированных смещений в зависимости от результата проверки условия. Диспетчерские блоки, основанные на памяти, появляются реже и используют другую компоновку. При вводе своих команд диспетчера обфускатор генерирует дублированные исходные инструкции, что, вероятно, позволяет избежать перераспределения исходных блоков команд. Для этой схемы защиты требуется комплексный деобфускатор для анализа двоичного файла.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://cloud.google.com/blog/topics/threat-intelligence/lummac2-obfuscation-through-indirect-control-flow/

Примеры показателей из Compromise:

• d01e27462252c573f66a14bb03c09dd2
• 205e45e123aea66d444feaba9a846748
• 5099026603c86efbcf943449cd6df54a

Источник: TTL OSINT