Odyssey Stealer Scanner
Python
// Áttekintés
Statikus elemző, ami az Odyssey Stealert és rokon macOS info-stealereket ismeri fel DMG fájlokban. MLCG XOR payloadokat fejt, C2-címeket és IOC-kat nyer ki anélkül, hogy lefuttatná a mintát. Egy fájlmegosztó abuse-csapatának készült, és teljes aktív kampányokat lőtt le vele.
// Mivel készült
Pythonmalware analysismacOS
// A probléma
Az Odyssey és a rokon macOS info-stealerek DMG fájlokban, obfuszkált payloaddal érkeznek. A triázs korábban a minta lefuttatását jelentette az indikátorok kinyeréséhez, ami lassú és kockázatos.
// Megközelítés
- Statikusan parse-olja a DMG-t és megtalálja a stealer payloadot anélkül, hogy bármit lefuttatna.
- Újraépíti az MLCG keystreamet a XOR réteg visszafejtéséhez, majd kinyeri a C2-címeket és az IOC-kat.
- Egy fájlmegosztó abuse-csapatának készült, hogy teljes kampányokat triázsoljon nagy léptékben.
// Mérnöki kihívások
- Az MLCG (multiplikatív lineáris kongruens generátor) keystream rekonstruálása a XOR-obfuszkáció visszafejtéséhez.
- A DMG-szerkezet változatainak kezelése, ahogy a kampány iterációnként változott.
- Teljesen statikusnak maradni, hogy a minta sosem fut le az elemzés alatt.