Ein Cybersecurity-Forschungsteam hat ein IDA-Plugin entwickelt, das die String-Verschleierung des Malware-Loaders Pikabot automatisch entschlüsseln kann. Die von der Malware eingesetzten Code-Verschleierungstechniken der Verschlüsselung binärer Zeichenketten einschließlich der Adressen von Command-and-Control-Servern (C2) erschwerten bisher die Entdeckung von Pikabot und dessen technische Analyse.
Pikabot erlangte nach der Zerschlagung von Qakbot im August 2023 Berühmtheit und entwickelte sich zu einer bedeutenden Bedrohung. Seine Verschlüsselungsmethode beinhaltete fortschrittliche String-Verschlüsselungstechniken, die eine Kombination aus AES-CBC- und RC4-Algorithmen verwendeten, was die Entschlüsselung zu einer komplexen Aufgabe für die Sicherheitsexperten machte. Die Sicherheitsanalysten von Zscaler veröffentlichten jetzt ein IDA-Plugin inklusive Quellcode, das die Entschlüsselung der verschleierten Strings von Pikabot automatisiert und den Analyseprozess erleichtert. Obwohl Pikabot Anfang 2024 seine bisherige Verschleierungsmethode zugunsten einfacherer Algorithmen aufgegeben hat, bleibt das Plugin ein wertvolles Werkzeug für die Cybersicherheitsgemeinschaft, um die Auswirkungen von Malware-Loadern besser zu verstehen und effektiver einzudämmen.
Entschlüsselung der Zeichenketten von Pikabot
Das Plugin nutzt den IDA-Mikrocode zur Entschlüsselung von Zeichenketten und folgt dabei einer Reihe von Schritten, die in der technischen Analyse des Zscaler ThreatLabz-Teams beschrieben sind. Dieser Prozess umfasst unter anderem die Identifizierung des AES-Schlüssels und des Initialisierungsvektors (IV) sowie die Extraktion des RC4-Schlüssels. Die Komplexität dieser Schritte unterstreicht die Raffinesse der Verschleierungstechnik von Pikabot und die Bedeutung des Plugins. Das Plugin wurde für IDA ab Version 8 getestet und kann durch Kompilieren des Quellcodes mit dem IDA SDK ausgeführt werden. Sobald ein Pikabot-Beispiel in IDA geladen ist, kann der User Strings innerhalb bestimmter Funktionen oder im gesamten Beispiel entschlüsseln und das Plugin kommentiert die entschlüsselten Zeichenketten direkt in der dekompilierten Ausgabe. Der Quellcode des IDA-Plugins ist auf GitHub verfügbar und lädt zur Zusammenarbeit und Weiterentwicklung innerhalb der Forschungsgemeinschaft ein. Dieser Open-Source-Ansatz spiegelt das Engagement von Zscaler ThreatLabz wider, die Cybersicherheitsabwehr zu verbessern und den kollektiven Kampf gegen Cyberbedrohungen zu unterstützen.
Mehr bei Zscaler.com
Über Zscaler Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.
Passende Artikel zum Thema