stadeo

Stadeo es un conjunto de herramientas desarrolladas principalmente para facilitar el análisis de Stantinko, que es una botnet que realiza fraude de clics, inyección de AD, fraude en redes sociales, ataques de robo de contraseñas y criptominación.

Los scripts, escritos completamente en Python, se ocupan de las técnicas de obfushing de flujo de flujo de control de Stantinko (CFF) de Stantinko descritas en nuestro blog BlogPost de marzo 2020. Además, se pueden utilizar para otros fines: por ejemplo, ya hemos ampliado nuestro enfoque para respaldar el desobfusión del CFF que aparece en EMOTET, un troyano que roba credenciales bancarias y que descarga cargas útiles adicionales como el ransomware.

Nuestros métodos de desobfuscación utilizan IDA, que es una herramienta estándar en la industria y el miasma, un marco de código abierto que nos proporciona varios análisis de flujo de datos, un motor de ejecución simbólica, un motor de ejecución simbólica dinámica y los medios para volver a ensamblar las funciones modificadas.