Nino Isakovic氏とChuong Dong氏は、「LummaC2: Obfuscation Through Indirect Control Flow」というタイトルのブログ記事を公開しました。このブログ記事では、最近のLummaC2(LUMMAC.V2)stealerのサンプルで採用されている、制御フローの難読化技術の分析について詳しく解説しています。
旧バージョンで使用されていた従来の制御フローのフラット化技術に加えて、このマルウェアは、マルウェアの実行を操作するために、カスタマイズされた制御フローの間接化を利用するようになりました。この技術は、IDA ProやGhidraを含むすべてのバイナリアナリシスタグ
ルを無効化し、リバースエンジニアリングプロセスだけでなく、実行アーティファクトをキャプチャして検出を生成するように設計された自動化ツールも著しく妨げます。GoogleとMandiantのセキュリティチームに洞察を提供するために、著者は、シンボリックバックワードスライシングを通じてこの保護層を削除する自動化された方法を開発しました。リカバリされた制御フローを活用することで、静的バイナリアナリスプラットフォームで容易に利用できる形式にサンプルを再構築および難読化解除できます。
この保護層を削除するためにシンボリックバックワードスライシングを使用している点が特に興味深いと感じました。このアプローチは、制御フローの難読化技術の有効性を軽減する上で非常に効果的です。この研究は、リバースエンジニアリング機能を強化しようとしているマルウェアアナリストにとって非常に貴重なものになると信じています。
