Group-IB выпустила первый универсальный автоматизированный деобфускатор
Компания Group-IB, занимающаяся расследованием ИТ-инцидентов и нарушений информационной безопасности, объявила о выпуске уникального деобфускатора Ariadne. Подобное решение не имеет аналогов и позволяет экспертам в области обратной инженерии быстро и эффективно исследовать защищенные от анализа алгоритмы работы программ, утверждают в компании.
Ariadne представляет собой универсальный набор инструментов (фреймворк), который позволяет сэкономить время при исследовании принципов работы разнообразного программного обеспечения. Используя Ariadne, можно читать и модифицировать исполняемые файлы, переводить их машинный код в символьные обозначения и даже преобразовывать часть кода в удобное для анализа промежуточное представление, говорится в сообщении Group-IB. Новый фреймворк прост в применении и легко встраивается в другие продукты. Например, сегодня уже существует плагин для популярного дизассемблера IDA.
Главной же особенностью Ariadne является наличие ряда оригинальных алгоритмов оптимизации, используя которые, можно упростить код, защищенный с помощью методов обфускации. По словам разработчиков, технология AIR Wave Deobfuscation Technology, не основанная на каких-либо структурных шаблонах кода, позволяет «вымывать» бессмысленный набор инструкций и переменных, используемый создателями программы для запутывания исходного кода. При этом обеспечивается высокое качество деобфускации без использования запредельных вычислительных ресурсов. Технология распутывания кода создавалась специально с учетом необходимости практического применения на распространенных конфигурациях персональных компьютеров.
Таким образом, фреймворк Ariadne объединяет в себе сразу несколько инструментов, которые позволяют специалистам в области обратной инженерии оперативно анализировать алгоритмы работы исследуемых программ. Также Ariadne можно использовать при создании собственных программных решений или программных защит.
«До сегодняшнего дня на рынке в открытом доступе не существовало универсальных деобфускаторов, — заявил Илья Сачков, генеральный директор Group-IB. — Фреймворк Ariadne создавался как передовое программное обеспечение для проведения компьютерно-криминалистических исследований. Это первая ласточка в рамках наших инновационных разработок криминалистического ПО. Надеюсь, что Ariadne действительно станет той “нитью”, за которой на рынок последуют иные программно-аппаратные решения Group-IB».
«В ходе постоянных исследований функционала вредоносных программ мы постоянно сталкиваемся с тем, что вирусописатели используют самые разнообразные способы защиты от анализа кода, — отметил Александр Матросов, руководитель Центра вирусных исследований и аналитики Eset. — И раньше для каждого случая приходилось продумывать и применять индивидуальный подход либо разрабатывать внутренний инструментарий. С появлением Ariadne задачи, связанные с деобфускацией кода, можно решать гораздо эффективнее, при этом фреймворк может быть легко интегрирован с внутренней инфраструктурой криминалистических и антивирусных лабораторий».
© CNews
