ScatterBrainの解読:Shadowpadの高度な難読化コンパイラの深層分析
2025-02-02
Kasperskyが最初に特定したマルウェアファミリーであるPOISONPLUG.SHADOW(Shadowpad)は、検出を回避するためにカスタム難読化コンパイラであるScatterBrainを使用しています。GoogleのThreat Intelligence Group(GTIG)とFLAREチームは協力してScatterBrainのリバースエンジニアリングを行い、スタンドアロンの静的デオブファスケーターを作成しました。このデオブファスケーターは、ScatterBrainの3つの保護モード(選択的、完全、完全「ヘッダーレス」)に対処し、制御フローグラフの難読化、命令の変異、インポートテーブルの保護を無効にします。この研究により、Shadowpadのような高度なマルウェアの分析と対策能力が大幅に向上します。
テクノロジー
デオブファスケーション