ScatterBrain
A Google Threat Intelligence Group (GTIG) 2022 óta követi a POISONPLUG.SHADOW elnevezésű, egyedi obfuszkálást alkalmazó kártékony szoftver kampányait, amelyek kínai származású fenyegető szereplőkhöz köthetők. A POISONPLUG egy fejlett, moduláris hátsóajtó, amit több különálló, de valószínűleg összefüggő támadó csoport használ. A ScatterBrain egy speciális obfuszkálási fordító, amely lehetővé teszi az ilyen fenyegetések észlelésének megnehezítését, mivel rendkívül bonyolulttá teszi a kód elemzését.
A ScatterBrain fejlett technikákat alkalmaz, mint például a teljes vezérlési áramkör (CFG) obfuszkálás, az utasítás-módosítások és a teljes import táblázat védelme, hogy megakadályozza a hagyományos statikus és dinamikus elemző eszközök használatát. A cikk részletesen bemutatja a ScatterBrain obfuszkálás három működési módját
A cikk célja, hogy bemutassa, hogyan lehet a ScatterBrain által védett binárisokat dekódolni, és hogyan dolgozták ki a szükséges technikákat és deobfuszkáló könyvtárakat, amelyek segítenek a biztonsági szakembereknek a bonyolult kártékony kódok elemzésében. A blog részletes útmutatót ad a kódok védelmi mechanizmusainak hatékony megkerülésére, és segít javítani a modern obfuszkálási technikák megértését. A Google együtt dolgozik a FLARE csapattal, hogy folytassa a fenyegetések elemzését és védelmi megoldások kidolgozását.