Девиртуализация объекта защищенного KoiVM

Обфускация вредоносных программ, написанных на фреймворке .NET, в настоящее время является стандартом среди вирусописателей. С недавних пор в поле зрения экспертов нашей организации начали попадать файлы, защищенные от анализа с помощью виртуализации кода. KoiVM — это известный плагин протектора Confuser, который позволяет виртуализировать исполняемый файл, написанный на .NET. В докладе описывается опыт исследования вредоносного файла, защищенного с помощью модифицированного варианта KoiVM, а также подход и инструменты, разработанные для борьбы с данной техникой. Описаны шаги и вероятные сложности, которые необходимо будет пройти исследователю, столкнувшемуся с подобным файлом. Кроме того, прослежена полная цепочка объектов начиная с фишингового вложения и до полезной нагрузки, принадлежащей известному семейству вредоносов. Акцент в исследовании сделан на том, как быстро найти основную структуру констант, используемых виртуальной машиной, восстановить их значения и сопоставить реализацию данных команд с открытым исходным кодом описываемого виртуализатора. Санат Абеу Seven Hills of Kazakhstan