stadeo

Stadeo est un ensemble d'outils principalement développés pour faciliter l'analyse de STANTINKO, qui est un botnet effectuant une fraude en clic, une injection d'annonces, une fraude au réseau social, un vol de mots de passe et une cryptomiminage.

Les scripts, entièrement écrits à Python, traitent des techniques uniques de flux de contrôle de contrôle (CFF) de STANTINKO et des techniques d'obscuscations décrites dans notre poste de blog de mars 2020. De plus, ils peuvent être utilisés à d'autres fins: par exemple, nous avons déjà étendu notre approche pour soutenir la déobfuscation de la CFF présentée dans Emotet - un Troie qui vole les informations d'identification bancaire et qui télécharge des charges utiles supplémentaires telles que les ransomwares.

Nos méthodes de désobfuscation utilisent IDA, qui est un outil standard dans l'industrie, et MIASM - un cadre open source nous fournissant diverses analyses de flux de données, un moteur d'exécution symbolique, un moteur d'exécution symbolique dynamique et les moyens de réassembler les fonctions modifiées.