stadeo

Stadeo ist eine Reihe von Tools, die hauptsächlich entwickelt wurden, um die Analyse von Stantinko zu erleichtern. Dies ist ein Botnetz, das Klickbetrug, Anzeigeninjektion, Betrug mit sozialem Netzwerk, Angriffe und Kryptominierungen für Kennwortdiebstahl durchführen.

Die Skripte, die vollständig in Python geschrieben wurden, befassen sich mit Stantinko's einzigartiger Kontroll-Flow-Fladening (CFF) und String Adfuscation-Techniken, die in unserem Blogpost im März 2020 beschrieben wurden. Darüber hinaus können sie für andere Zwecke verwendet werden: Zum Beispiel haben wir unseren Ansatz bereits erweitert, um das in Emotet vorgestellte CFF zu unterstützen - einen Trojaner, der Bankanmeldeinformationen stiehlt und zusätzliche Nutzlasten wie Ransomware herunterlädt.

Unsere Deobfuskationsmethoden verwenden IDA, ein Standardwerkzeug in der Branche, und Miasm-ein Open-Source-Framework, das uns verschiedene Datenflussanalysen, eine symbolische Ausführungsmaschine, eine dynamische symbolische Ausführungs-Engine und die Mittel zur Neugestaltung modifizierter Funktionen bietet.