Cisco Japan Blog

Nim など C 言語以外のプログラミング言語に対する FLIRT シグネチャの生成

1 min read



Go、Rust、Nim のようなプログラミング言語でマルウェアを作成する攻撃者が増えています。その理由は、C 言語ファミリに対して最もうまく機能するように設計されたリバースエンジニアリング ツールを使用する調査者にとっては、これらの言語の解析が困難だからです。

C 言語以外の言語を調査するリバースエンジニアにとって、調査対象の言語用に用意されている標準ライブラリのコードとマルウェア作成者のコードを区別することは難しいことが多いのです。この問題は、ほとんどの場合、Hex-Ray 社の Interactive Disassembler(IDA)で解決できます。IDA には、ライブラリ関数の識別や独自の Fast Library Identification and Recognition Technology(FLIRT)popup_iconシグネチャの生成にすぐに使える機能が備わっています。

ただし Nim については、シグネチャの生成は他の言語と比べてはるかに困難です。Cisco Talos は、IDA 用に独自の FLIRT シグネチャを自動生成する方法を見つけるために新しいプロジェクトを立ち上げました。この研究の成果が、Recon.cx 2023popup_icon での講演と Hex-Rays 社のブログへの寄稿popup_iconにつながっています。同ブログでは、Talos の研究の技術的な詳細について説明しています。

 

本稿は 2023 年 08 月 22 日に Talos Grouppopup_icon のブログに投稿された「Generating FLIRT signatures for Nim and other non-C programming languagespopup_icon」の抄訳です。

コメントを書く