Nino Isakovic et Chuong Dong ont publié un article de blog intitulé "LummaC2: Obfuscation Through Indirect Control Flow". Cet article de blog se penche sur l'analyse d'une technique d'obscurcissement du flux de contrôle employée par les récents échantillons du voleur LummaC2 (LUMMAC.V2). En plus de la technique traditionnelle d'aplatissement du flux de contrôle utilisée dans les anciennes versions, le malware exploite désormais une indirection de flux de contrôle personnalisée pour manipuler l'exécution du malware. Cette technique contrecarre tous les outils d'analyse binaire, y compris IDA Pro et Ghidra, ce qui entrave considérablement le processus de rétro-ingénierie et les outils d'automatisation conçus pour capturer les artefacts d'exécution et générer des détections. Afin de fournir des informations aux équipes de sécurité de Google et de Mandiant, les auteurs ont développé une méthode automatisée permettant de supprimer cette couche de protection grâce au découpage en tranches symbolique arrière. En exploitant le flux de contrôle récupéré, ils peuvent reconstruire et désobfusquer les échantillons dans un format facilement utilisable par toute plateforme d'analyse binaire statique. J'ai trouvé l'utilisation du découpage en tranches symbolique arrière pour supprimer cette couche de protection particulièrement intéressante. Cette approche peut s'avérer très efficace pour atténuer l'efficacité des techniques d'obscurcissement du flux de contrôle. Je pense que cette recherche sera très précieuse pour les analystes de logiciels malveillants qui cherchent à améliorer leurs capacités en matière de rétro-ingénierie.