ScatterBrain 분석: Shadowpad의 정교한 난독화 컴파일러 심층 분석
2025-02-02
카스퍼스키가 처음 발견한 악성코드 패밀리인 POISONPLUG.SHADOW(Shadowpad)는 탐지를 회피하기 위해 사용자 정의 난독화 컴파일러인 ScatterBrain을 사용합니다. Google의 위협 인텔리전스 그룹(GTIG)과 FLARE 팀은 협력하여 ScatterBrain의 리버스 엔지니어링을 수행하고 독립 실행형 정적 디옵퓨스케이터를 만들었습니다. 이 디옵퓨스케이터는 ScatterBrain의 세 가지 보호 모드(선택적, 완전, 완전 "헤더 없음")를 처리하여 제어 흐름 그래프 난독화, 명령어 변이, 가져오기 테이블 보호를 무효화합니다. 이 연구는 Shadowpad와 같은 정교한 악성코드의 분석 및 대응 능력을 크게 향상시킵니다.
기술
디옵퓨스케이션