Descripción
El malware no detectado puede ser abrumador de analizar. Incluso los ingenieros de reversa más experimentados pueden sentirse muy orgullosos de los códigos STL y COM. Tomemos por ejemplo Gophe, un spambot asociado a las campañas de Dyre y Trickbot C2, que pesa alrededor de 2,6 MB con un WinMain de 10 KB, tres binarios incrustados, abundante código STL generado por plantillas y múltiples sabores de uso atípico del COM. COM tiene 27 años, y los plugins están empezando a materializarse para automatizar su análisis, pero Gophe presenta un fuerte caso para entender COM directamente y aplicar ese conocimiento a la descompilación en lugar de a los listados de ensamblado. Mientras tanto, el reverso de C++ está bien cubierto, pero la literatura es en gran parte ortogonal al código STL. En esta charla, Michael Bailey del equipo FLARE de FireEye compartirá cómo domar el código STL con el conocimiento de algunas estructuras clave y cómo investigar el uso del COM que no se ajusta a la norma. Esto incluirá una visita guiada a una muestra de Gophe para centrarse en las tácticas para una efectiva inversión de STL y COM enriqueciendo la descompilación en los Rayos Hex. Examinaremos lo que Gophe está haciendo con Outlook.Application, la API de mensajería de Microsoft (MAPI), y otra interfaz COM que utiliza para ocultarse de la vista. Este caso de estudio de ingeniería inversa es todo jamón y nada de spam, ¡así que traiga su apetito!
