Bakalárska práca

Názov

Obfuskačné techniky skupiny Stantinko

Anotácia

Stantinko je rodina malvéru aktívna aspoň od roku 2012, ktorá postupne vyvíjala a vylepšovala vlastné unikátne obfuskačné techniky, aby zkomplikovala prácu analytikom a vyhla sa detekcii. Práca sa zaoberá popisom týchto techník a možnosťami analýzy programov, ktoré nimi boli obfuskované.

Cieľ

 

Školiteľ

 

RNDr. Jaroslav Janáček, PhD

 

Autor

Vladislav Hrčka

hrcka10[]zavinac[]uniba[]bodka[]sk

Časový plán

Zdroje

[1] Martin Červeň, Deobfuskácia kódu generovaného programom Obfuscator-LLVM, Bratislava, 2016

[2] Ľubomír Karaba, Obfuskácia zdrojového kódu, Bratislava, 2007

[3] Playing with Dynamic symbolic execution, https://miasm.re/blog/2017/10/05/playing_with_dynamic_symbolic_execution.html

[4] Data flow analysis: DepGraph, https://miasm.re/blog/2017/02/03/data_flow_analysis_depgraph.html

[5] Miasm documentation, https://github.com/cea-sec/miasm/tree/master/doc

[6] RPyC documentation, https://rpyc.readthedocs.io/en/latest/docs.html

[7] IDAPython documentation, https://www.hex-rays.com/products/ida/support/idapython_docs/

[8] Moritz Raabe, William Ballenthin, Automatically Extracting Obfuscated Strings, https://www.fireeye.com/blog/threat-research/2016/06/automatically-extracting-obfuscated-strings.html

[9] Rolf Rolles, Hex-Rays Microcode API vs. Obfuscating Compiler, https://www.hex-rays.com/blog/hex-rays-microcode-api-vs-obfuscating-compiler/

[10] Vladislav Hrčka, Stantinko’s new cryptominer features unique obfuscation techniques, https://welivesecurity.com/2020/03/19/stantinko-new-cryptominer-unique-obfuscation-techniques/

[11] Vladislav Hrčka, Stadeo: Deobfuscating Stantinko and more, https://www.welivesecurity.com/2020/08/07/stadeo-deobfuscating-stantinko-and-more

 

Práca

prezentacia.pptx

vychodiska.pdf

praca.pdf

dennik.html