Thought Leadership
Das Cybersecurity-Forschungsteam Zscaler ThreatLabz hat ein IDA-Plugin entwickelt, das die String-Verschleierung des Malware-Loaders Pikabot automatisch entschlüsseln kann.
Die von der Malware eingesetzten Code-Verschleierungstechniken der Verschlüsselung binärer Zeichenketten einschließlich der Adressen von Command-and-Control-Servern (C2) erschwerten bisher die Entdeckung und technische Analyse.
Pikabot erlangte nach der Zerschlagung von Qakbot im August 2023 Berühmtheit und entwickelte sich zu einer bedeutenden Bedrohung. Seine Verschlüsselungsmethode beinhaltete fortschrittliche String-Verschlüsselungstechniken, die eine Kombination aus AES-CBC- und RC4-Algorithmen verwendeten, was die Entschlüsselung zu einer komplexen Aufgabe für die Sicherheitsexperten machte. Die Sicherheitsanalysten von Zscaler veröffentlichten jetzt ein IDA-Plugin inklusive Quellcode, das die Entschlüsselung der verschleierten Strings von Pikabot automatisiert und den Analyseprozess erleichtert. Obwohl Pikabot Anfang 2024 seine bisherige Verschleierungsmethode zugunsten einfacherer Algorithmen aufgegeben hat, bleibt das Plugin ein wertvolles Werkzeug für die Cybersicherheitsgemeinschaft, um die Auswirkungen von Malware-Loadern besser zu verstehen und effektiver einzudämmen.
Das Plugin nutzt den IDA-Mikrocode zur Entschlüsselung von Zeichenketten und folgt dabei einer Reihe von Schritten, die in der technischen Analyse des Zscaler ThreatLabz-Teams beschrieben sind. Dieser Prozess umfasst unter anderem die Identifizierung des AES-Schlüssels und des Initialisierungsvektors (IV) sowie die Extraktion des RC4-Schlüssels. Die Komplexität dieser Schritte unterstreicht die Raffinesse der Verschleierungstechnik von Pikabot und die Bedeutung des Plugins. Das Plugin wurde für IDA ab Version 8 getestet und kann durch Kompilieren des Quellcodes mit dem IDA SDK ausgeführt werden. Sobald ein Pikabot-Beispiel in IDA geladen ist, kann der User Strings innerhalb bestimmter Funktionen oder im gesamten Beispiel entschlüsseln und das Plugin kommentiert die entschlüsselten Zeichenketten direkt in der dekompilierten Ausgabe.
Der Quellcode des IDA-Plugins ist auf GitHub verfügbar und lädt zur Zusammenarbeit und Weiterentwicklung innerhalb der Forschungsgemeinschaft ein. Dieser Open-Source-Ansatz spiegelt das Engagement von Zscaler ThreatLabz wider, die Cybersicherheitsabwehr zu verbessern und den kollektiven Kampf gegen Cyberbedrohungen zu unterstützen.
www.zscaler.de
