Обфусцирующий компилятор, используемый LummaC2, представляет собой инструмент, предназначенный для повышения безопасности двоичных файлов программного обеспечения. Он преобразует двоичные файлы в защищенное представление, усложняя их анализ и подделку кода. В отличие от упаковщиков, обфусцирующие компиляторы обеспечивают комплексные механизмы преобразования и защиты кода.
LummaC2 Stealer
Обфускатор, используемый в LummaC2, применяет ряд преобразований, соответствующих стандартным техникам обфускации компиляторов. Однако основной интерес авторов обфускатора был сосредоточен на новой схеме защиты потока управления.
В обфусцированной функции вредоносной программы поток управления замаскирован с помощью диспетчерских блоков. Диспетчерские блоки состоят из подмножества исходных инструкций и новых инструкций, введенных обфускатором. Каждый диспетчерский блок заканчивается непрямым переходом к динамически разрешаемому пункту назначения. Это приводит к мутированию прогрессивного линейного потока управления в разрозненную серию блоков. Диспетчерские блоки могут быть безусловными или условными и могут оперировать регистрами или памятью.
Indicators of Compromise
MD5
- 205e45e123aea66d444feaba9a846748
- 5099026603c86efbcf943449cd6df54a
- d01e27462252c573f66a14bb03c09dd2
SHA1
- 263dd00f996b3605599cef119b8b968cc01f2635
SHA256
- 44f3429f40b81439cc542202dfedcad622e0cefff16ecd5f2b7977fb38284286
- 7b1c4872d80ec4f25fd58e9ecbe2249c16a7213137c753c19c780fded6e96d35
- 7f90b87f9a83553625e71f173ae7aafcc19ad3b152b286aa3e0a72ac1f9c758d
