Bakalárska práca
Názov
Obfuskačné techniky skupiny Stantinko
Anotácia
Stantinko je rodina malvéru aktívna aspoň od roku 2012, ktorá postupne vyvíjala a vylepšovala vlastné unikátne obfuskačné techniky, aby zkomplikovala prácu analytikom a vyhla sa detekcii. Práca sa zaoberá popisom týchto techník a možnosťami analýzy programov, ktoré nimi boli obfuskované.
Cieľ
•analyzovať a popísať obfuskačné techniky používané skupinou Stantinko
•porovnať ich s podobnými a všeobecne známymi obfuskačnými technikami
•navrhnúť a implementovať riešenie uľahčujúce analýzy programov obfuskovaných týmito technikami
Školiteľ
RNDr. Jaroslav Janáček, PhD
Autor
Vladislav Hrčka
hrcka10[]zavinac[]uniba[]bodka[]sk
Časový plán
•November: Zbieranie zdrojov
•December: Vypracovanie úvodnej a východiskovej kapitoly
•Január: Popis obfuskačných techník
•Február: Práca na prvej časti deobfuskačných metód
•Marec: Práca na druhej časti deobfuskačných metód
•Apríl: Finalizácia práce, posledné úpravy
•Máj: Odovzdanie práce
Zdroje
[1] Martin Červeň, Deobfuskácia kódu generovaného programom Obfuscator-LLVM, Bratislava, 2016
[2] Ľubomír Karaba, Obfuskácia zdrojového kódu, Bratislava, 2007
[3] Playing with Dynamic symbolic execution, https://miasm.re/blog/2017/10/05/playing_with_dynamic_symbolic_execution.html
[4] Data flow analysis: DepGraph, https://miasm.re/blog/2017/02/03/data_flow_analysis_depgraph.html
[5] Miasm documentation, https://github.com/cea-sec/miasm/tree/master/doc
[6] RPyC documentation, https://rpyc.readthedocs.io/en/latest/docs.html
[7] IDAPython documentation, https://www.hex-rays.com/products/ida/support/idapython_docs/
[8] Moritz Raabe, William Ballenthin, Automatically Extracting Obfuscated Strings, https://www.fireeye.com/blog/threat-research/2016/06/automatically-extracting-obfuscated-strings.html
[9] Rolf Rolles, Hex-Rays Microcode API vs. Obfuscating Compiler, https://www.hex-rays.com/blog/hex-rays-microcode-api-vs-obfuscating-compiler/
[10] Vladislav Hrčka, Stantinko’s new cryptominer features unique obfuscation techniques, https://welivesecurity.com/2020/03/19/stantinko-new-cryptominer-unique-obfuscation-techniques/
[11] Vladislav Hrčka, Stadeo: Deobfuscating Stantinko and more, https://www.welivesecurity.com/2020/08/07/stadeo-deobfuscating-stantinko-and-more
Práca