stadeo

O Stadeo é um conjunto de ferramentas desenvolvidas principalmente para facilitar a análise do StantoNinko, que é um botnet que executa fraude de cliques, injeção de anúncio, fraude de rede social, ataques de roubo de senha e criptografia.

Os scripts, escritos inteiramente em Python, lidam com as técnicas exclusivas de controle de controle de fluxo (CFF) da StantoNinko e de ofuscação de cordas descritas em nosso post de blog de março de 2020. Além disso, eles podem ser utilizados para outros propósitos: por exemplo, já estendemos nossa abordagem para apoiar o desosco da CFF apresentado em Emotet - um trojan que rouba credenciais bancárias e que baixar cargas úteis adicionais, como ransomware.

Nossos métodos de deobfusação usam a IDA, que é uma ferramenta padrão no setor, e o miasma-uma estrutura de código aberto que nos fornece várias análises de fluxo de dados, um mecanismo de execução simbólica, um mecanismo de execução simbólica dinâmica e os meios para remontar funções modificadas.