Successfully reported this slideshow.
Your SlideShare is downloading. ×

[cb22] Wslinkのマルチレイヤーな仮想環境について by Vladislav Hrčka

Jan. 02, 2023
0 likes 23 views
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Dalvik仮想マシンのアーキテクチャ 改訂版
Dalvik仮想マシンのアーキテクチャ 改訂版
Loading in …3
×

Check these out next

関東GPGPU勉強会 LLVM meets GPU
Takuro Iizuka
Unix32 v 20100508
xylnao
LLVMで遊ぶ(整数圧縮とか、x86向けの自動ベクトル化とか)
Takeshi Yamamuro
4章 Linuxカーネル - 割り込み・例外 2
mao999
HaskellではじめるCortex-M3組込みプログラミング
Kiwamu Okabe
Build Node.js-WASM/WASI Tiny compiler with Node.js
mganeko
Polyphony の行く末(2018/3/3)
ryos36
BLS署名の実装とその応用
MITSUNARI Shigeo
1 of 54 Ad

[cb22] Wslinkのマルチレイヤーな仮想環境について by Vladislav Hrčka

Jan. 02, 2023
0 likes 23 views

Download to read offline

Presentations & Public Speaking

2021年10月、Lazarusグループに関連する可能性が高いユニークなローダーであるWSLinkの最初の分析を公開。ほとんどのサンプルは難読化され、高度な仮想マシン(VM)難読化機能で保護されている。サンプルには明確なアーティファクトが含まれておらず、当初は難読化を公的に知られているVMと関連付けなかったが、後にそれをCodevirtualizerに接続することに成功。このVMは、ジャンクコードの挿入、仮想オペランドの暗号化、仮想オペコードの重複、難読化手法仮想命令のマージ、ネストされたVMなど、いくつかの追加の難読化技術を導入する。
本発表では、VMの内部を分析し、合理的な時間で難読化技術を「見抜く」ための半自動化されたアプローチについて説明する。また、難読化されたバイトコードと難読化されていないバイトコードを比較し、本手法の有効性を紹介する。われわれの手法は、仮想オペコードのセマンティクスを抽出する既知の難読化解除手法に基づいており、単純化規則によるシンボリック実行を使用。さらに、バイトコードチャンクとVMの内部構成を記号ではなく、具体的な値として扱い、既知の難読化手法で追加の難読化技術を自動的に処理できるようにする。

2021年10月、Lazarusグループに関連する可能性が高いユニークなローダーであるWSLinkの最初の分析を公開。ほとんどのサンプルは難読化され、高度な仮想マシン(VM)難読化機能で保護されている。サンプルには明確なアーティファクトが含まれておらず、当初は難読化を公的に知られているVMと関連付けなかったが、後にそれをCodevirtualizerに接続することに成功。このVMは、ジャンクコードの挿入、仮想オペランドの暗号化、仮想オペコードの重複、難読化手法仮想命令のマージ、ネストされたVMなど、いくつかの追加の難読化技術を導入する。
本発表では、VMの内部を分析し、合理的な時間で難読化技術を「見抜く」ための半自動化されたアプローチについて説明する。また、難読化されたバイトコードと難読化されていないバイトコードを比較し、本手法の有効性を紹介する。われわれの手法は、仮想オペコードのセマンティクスを抽出する既知の難読化解除手法に基づいており、単純化規則によるシンボリック実行を使用。さらに、バイトコードチャンクとVMの内部構成を記号ではなく、具体的な値として扱い、既知の難読化手法で追加の難読化技術を自動的に処理できるようにする。

Presentations & Public Speaking
Advertisement

Recommended

Dalvik仮想マシンのアーキテクチャ 改訂版
Takuya Matsunaga
5.3k views
20 slides
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
8.2k views
40 slides
仮想化技術によるマルウェア対策とその問題点
Kuniyasu Suzaki
5.3k views
51 slides
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews, Inc.
31.9k views
115 slides
Exploring the x64
FFRI, Inc.
977 views
42 slides
Mysql casual fukuoa_vlo_2
Makoto Haruyama
10.7k views
49 slides
ゆるバグ
MITSUNARI Shigeo
1.6k views
36 slides
d-kami x86-2
Daisuke Kamikawa
1.4k views
45 slides
Advertisement

More Related Content

Similar to [cb22] Wslinkのマルチレイヤーな仮想環境について by Vladislav Hrčka (20)

関東GPGPU勉強会 LLVM meets GPU
Takuro Iizuka
4.8k views
Unix32 v 20100508
xylnao
630 views
LLVMで遊ぶ(整数圧縮とか、x86向けの自動ベクトル化とか)
Takeshi Yamamuro
10.5k views
4章 Linuxカーネル - 割り込み・例外 2
mao999
2k views
HaskellではじめるCortex-M3組込みプログラミング
Kiwamu Okabe
2.8k views
Build Node.js-WASM/WASI Tiny compiler with Node.js
mganeko
756 views
Polyphony の行く末(2018/3/3)
ryos36
2.1k views
BLS署名の実装とその応用
MITSUNARI Shigeo
1.7k views
第1回【CCNA】ネットワーク基礎講座‗なにわTECH道171208
Nobuaki Omura
2k views
201711 vxrailチャンピオンクラブ_ワークショップ~入門編~テキスト
VxRail ChampionClub
2.9k views
[CEDEC2017] LINEゲームのセキュリティ診断手法
LINE Corporation
12.2k views
Kiso sekkei 01rev03
tetsuya matsuno
3.5k views
GPUが100倍速いという神話をぶち殺せたらいいな ver.2013
Ryo Sakamoto
8.8k views
GPU駆動レンダリングへの取り組み
CAPCOM R&D
29.7k views
SCUGJ第18回勉強会:よろしい、ならばVMMだ
wind06106
451 views
[CB16] マイクロソフトウィンドウズカーネルのデスノート by Peter Hlavaty & Jin Long
CODE BLUE
824 views
ツイートID生成とツイッターリアルタイム検索システムの話
Preferred Networks
11.9k views
20210515 cae linux_install_vb
YohichiShiina
270 views
OpenStackで始めるクラウド環境構築入門
VirtualTech Japan Inc.
499 views
Xbyakの紹介とその周辺
MITSUNARI Shigeo
7.7k views
関東GPGPU勉強会 LLVM meets GPU
Takuro Iizuka
4.8k views
52 slides
Unix32 v 20100508
xylnao
630 views
9 slides
LLVMで遊ぶ(整数圧縮とか、x86向けの自動ベクトル化とか)
Takeshi Yamamuro
10.5k views
45 slides
4章 Linuxカーネル - 割り込み・例外 2
mao999
2k views
32 slides
HaskellではじめるCortex-M3組込みプログラミング
Kiwamu Okabe
2.8k views
11 slides
Build Node.js-WASM/WASI Tiny compiler with Node.js
mganeko
756 views
37 slides

More from CODE BLUE (20)

[cb22] Hayabusa Threat Hunting and Fast Forensics in Windows environments fo...
CODE BLUE
100 views
[cb22] Tales of 5G hacking by Karsten Nohl
CODE BLUE
37 views
[cb22] Your Printer is not your Printer ! - Hacking Printers at Pwn2Own by A...
CODE BLUE
19 views
[cb22] "The Present and Future of Coordinated Vulnerability Disclosure" Inter...
CODE BLUE
7 views
[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション(4) by 板橋 博之
CODE BLUE
18 views
[cb22] "The Present and Future of Coordinated Vulnerability Disclosure" Inter...
CODE BLUE
19 views
[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション(3) by Lorenzo Pupillo
CODE BLUE
4 views
[cb22] ”The Present and Future of Coordinated Vulnerability Disclosure” Inte...
CODE BLUE
7 views
[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション(2)by Allan Friedman
CODE BLUE
17 views
[cb22] "The Present and Future of Coordinated Vulnerability Disclosure" Inter...
CODE BLUE
4 views
[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション (1)by 高橋 郁夫
CODE BLUE
18 views
[cb22] Are Embedded Devices Ready for ROP Attacks? -ROP verification for low-...
CODE BLUE
17 views
[cb22] Under the hood of Wslink’s multilayered virtual machine en by Vladisla...
CODE BLUE
5 views
[cb22] CloudDragon’s Credential Factory is Powering Up Its Espionage Activiti...
CODE BLUE
23 views
[cb22] From Parroting to Echoing: The Evolution of China’s Bots-Driven Info...
CODE BLUE
15 views
[cb22] Who is the Mal-Gopher? - Implementation and Evaluation of “gimpfuzzy”...
CODE BLUE
7 views
[cb22] Mal-gopherとは?Go系マルウェアの分類のためのgimpfuzzy実装と評価 by 澤部 祐太, 甘粕 伸幸, 野村 和也
CODE BLUE
78 views
[cb22] Tracking the Entire Iceberg - Long-term APT Malware C2 Protocol Emulat...
CODE BLUE
45 views
[cb22] Fight Against Malware Development Life Cycle by Shusei Tomonaga and Yu...
CODE BLUE
26 views
[cb22] What I learned from the direct confrontation with the adversaries who ...
CODE BLUE
4 views
[cb22] Hayabusa Threat Hunting and Fast Forensics in Windows environments fo...
CODE BLUE
100 views
72 slides
[cb22] Tales of 5G hacking by Karsten Nohl
CODE BLUE
37 views
34 slides
[cb22] Your Printer is not your Printer ! - Hacking Printers at Pwn2Own by A...
CODE BLUE
19 views
132 slides
[cb22] "The Present and Future of Coordinated Vulnerability Disclosure" Inter...
CODE BLUE
7 views
13 slides
[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション(4) by 板橋 博之
CODE BLUE
18 views
13 slides
[cb22] "The Present and Future of Coordinated Vulnerability Disclosure" Inter...
CODE BLUE
19 views
21 slides
Advertisement

Recently uploaded (20)

評価士のお仕事〜大澤望の場合〜
Nozomu Osawa
81 views
【F16】ゆるキャラを活用したまちづくりの可能性~青森県内の事例をめぐり~【青森大学/奥崎 千優】
aomorisix
18 views
【D03】視覚障害者の「書く」を実現するために【青森中央短期大学/鈴木寛康研究室】
aomorisix
10 views
【D05】スマホ利用の有無と学習時間の関係について【青森中央学院大学/伊藤友記・逢坂航・金澤温・佐々木拓飛 (楠山ゼミ1)】
aomorisix
17 views
【D07】あけたん「保育の魅力発信!プロジェクト」【青森明の星短期大学/青森明の星短期大学保育専攻チーム】
aomorisix
139 views
【F01】「なぜ青森市のコンパクトシティ政策は失敗したのか」【青森中央学院大学/探究の基礎(成田ゼミ)】
aomorisix
42 views
A08  角田研究室8 平田詔保
aomorisix
11 views
A12  坂井研究室 澤田純礼
aomorisix
18 views
【F14】青森大学生は参院選をどう見たか/10年後の青森は【青森大学/青森大学×NHK青森プロジェクト】
aomorisix
26 views
【F05】青森市民意識調査と医療費上昇の要因分析【青森中央学院大学/地域問題分析チーム】
aomorisix
16 views
A11  江口研究室 松山竜也
aomorisix
13 views
【F12】ネット・SNSの普及やコロナ禍がもたらした地域社会の変化 -青森県の実例からの考察【青森大学/中田 昇】
aomorisix
11 views
【F09】持続可能なまちづくりに関する考察ー青森市の事例を中心にー【青森大学/沼田ゼミ】
aomorisix
10 views
評価事例から考える文化的価値の評価の課題
Nozomu Osawa
51 views
A10  穴田研究室2 星遥登
aomorisix
15 views
【F11】アパレル業界の経営戦略ー{しまむら」に焦点を当ててー【青森大学/井岡ゼミ】
aomorisix
10 views
【B03】津軽線プロジェクトを通してみた沿線振興~動画・ガニ線カード制作とオンデマンド交通調査から~【青森大学/相坂 匠飛】
aomorisix
16 views
第9回プログラム委員会
ICIAM2023LSPC
100 views
【F07】「大学カフェテリアの売上に対するコロナ禍の影響について」【青森中央学院大学/学食5】
aomorisix
21 views
【F04】最低賃金と有効求人倍率の関係【青森中央学院大学/工藤怜奈 古川莉子 浪岡晴夏(楠山ゼミ4)】
aomorisix
20 views
評価士のお仕事〜大澤望の場合〜
Nozomu Osawa
81 views
24 slides
【F16】ゆるキャラを活用したまちづくりの可能性~青森県内の事例をめぐり~【青森大学/奥崎 千優】
aomorisix
18 views
8 slides
【D03】視覚障害者の「書く」を実現するために【青森中央短期大学/鈴木寛康研究室】
aomorisix
10 views
11 slides
【D05】スマホ利用の有無と学習時間の関係について【青森中央学院大学/伊藤友記・逢坂航・金澤温・佐々木拓飛 (楠山ゼミ1)】
aomorisix
17 views
13 slides
【D07】あけたん「保育の魅力発信!プロジェクト」【青森明の星短期大学/青森明の星短期大学保育専攻チーム】
aomorisix
139 views
10 slides
【F01】「なぜ青森市のコンパクトシティ政策は失敗したのか」【青森中央学院大学/探究の基礎(成田ゼミ)】
aomorisix
42 views
16 slides

[cb22] Wslinkのマルチレイヤーな仮想環境について by Vladislav Hrčka

  1. 1. Under the hood of Wslink’s multilayered virtual machine Vladislav Hrčka | Malware Researcher
  2. 2. Vladislav Hrčka Malware Researcher at ESET @HrckaVladislav
  3. 3. アジェンダ •仮想マシン一般とシンボリック実行の紹介 •Wslinkで使用する仮想マシンの内部構造 •難読化に対応するためのアプローチ •アプローチのデモンストレーション
  4. 4. プロセス仮想マシンの基本 • インタプリタがバ イトコードを実行 する • バイトコードには 命令が含まれてい ます。 • オペコード • オペランド • ハンドラが個々の オペコードを定義
  5. 5. 仮想マシンベースの難読化
  6. 6. 仮想マシンベースの難読化
  7. 7. Miasmにおけるシンボリックな実行 • コードを数式で表現する • レジスタやメモリはシンボル値として扱われる • シンボル値に対するコードの効果をまとめる • 頻繁に使用することになる • オリジナルのASM。 MOV EAX, EBX MOV ECX, DWORD PTR [EDX] XOR ECX, 0x123 MOV AX, WORD PTR [ESI] JMP ECX • シンボリック実行を行った。 EAX = {@16[ESI] 0 16, EBX[16:32] 16 32} ECX = @32[EDX] ^ 0x123 zf = @32[EDX] == 0x123 nf = (@32[EDX] ^ 0x123)[31:32] ... EIP = @32[EDX] ^ 0x123 IRDst = @32[EDX] ^ 0x123
  8. 8. Miasmにおけるシンボリックな実行 • 既知の具体的な数値を単純に適用することができる • 具体的な値によって、式を簡略化することができます • シンボリック実行を行った。 EAX = {@16[ESI] 0 16, EBX[16:3… ECX = @32[EDX] ^ 0x123 zf = @32[EDX] == 0x123 nf = (@32[EDX] ^ 0x123)[31:32] ... EIP = @32[EDX] ^ 0x123 IRDst = @32[EDX] ^ 0x123 • 応用編 EDX = 0x96 と @32[0x96] = 0xFEED: EAX = {@16[ESI] 0 16, EBX[16:3… ECX = 0xFFCE zf = 0x0 nf = 0x0 ... EIP = 0xFFCE IRDst = 0xFFCE EDX = 0x96 @32[0x96] = 0xFEED
  9. 9. 紹介終了
  10. 10. • 仮想化された機能 • 仮想化された機能 が含まれます。 • プロローグ • 仮想マシンのエントリー を呼び出す • ギボシコード Wslink ファーストコンタクト
  11. 11. Junk code
  12. 12. 仮想マシンの構成概要
  13. 13. 仮想マシンの構成概要
  14. 14. • 次の仮想命令を準備する • 仮想プログラムカウンタを増加させる • レジスタをゼロにする • RBP_init はコンテキストポ インタ • オフセット 0xA4 の命令表 • 仮想プログラムカウンタ(オ フセット0x28 VM2: 最初に実行された仮想命令
  15. 15. •バーチャル・インストラクション 2 • 複数の仮想レジスタをゼロにする •バーチャル・インストラクション 3 • RSPを仮想レジスタに格納 VM2: 仮想インストラクション2、3
  16. 16. VM2: 仮想インストラクション 4 • 複数の基本ブロック。
  17. 17. • 複数の基本ブロック。 VM2: 仮想インストラクション 4 • 第1ブロックの概要 – メモリアサインとIRDst
  18. 18. • 複数の基本ブロック。 VM2: 仮想インストラクション 4 • 第1ブロックの概要 – メモリアサインとIRDst
  19. 19. • 複数の基本ブロック。 VM2: 仮想インストラクション 4 • 第1ブロックの概要 – メモリアサインとIRDst • ローリングデクリプション – オペランドの暗号化 • オフセット0x0Bと0x70の仮想レジスタの値が先に設 定されていた
  20. 20. VM2: 仮想命令4 - 難読化解除 • 最初のオリジナルブロック
  21. 21. VM2: 仮想命令4 - 難読化解除 • 最初のオリジナルブロック
  22. 22. VM2: 仮想命令4 - 難読化解除 • 最初のオリジナルブロック • ローリングデクリプションレジスタの既知の値の適用 • 既知のバイトコード値を適用するとPOPが判明 IRDst = (-@16[@64[RBP_init + 0x28] + 0x4] ^ 0x3038 == @16[@64[RBP_init + 0x28] + 0x6])?(0x7FEC91ABD1C,0x7FEC91ABCF6) @64[RBP_init + {-@16[@64[RBP_init + 0x28] + 0x4] ^ 0x3038, 0, 16, 0x0, 16, 64}] = @64[RSP_init] IRDst = @64[@64[RBP_init + 0xA4] + 0x5A8] @64[RBP_init + 0x28] = @64[RBP_init + 0x28] + 0x8 @64[RBP_init + 0x141] = @64[RBP_init + 0x141] + 0x8 @64[RBP_init + 0x12A] = @64[RSP_init]
  23. 23. • バーチャルインストラクション4まとめ。 VM2: バイトコードチャンクの難読化を解除する IRDst = @64[@64[RBP_init + 0xA4] + 0x5A8] @64[RBP_init + 0x28] = @64[RBP_init + 0x28] + 0x8 @64[RBP_init + 0x141] = @64[RBP_init + 0x141] + 0x8 @64[RBP_init + 0x12A] = @64[RSP_init]
  24. 24. • サマリーからグラフを作成 • 一部の値を具象値として扱う。 • ローリングデクリプションレジスタ • バイトコードポインタからの相対的なメモリアクセス • ブロック間で復号化レジスタの値のみを保持する VM2: バイトコードチャンクの難読化を解除する IRDst = @64[@64[RBP_init + 0xA4] + 0x5A8] @64[RBP_init + 0x28] = @64[RBP_init + 0x28] + 0x8 @64[RBP_init + 0x141] = @64[RBP_init + 0x141] + 0x8 @64[RBP_init + 0x12A] = @64[RSP_init] virtual_instruction2_1(vpc) virtual_instruction2_2(vpc) virtual_instruction2_1(vpc) virtual_instruction2_3(vpc) virtual_instruction2_4(vpc) • バーチャルインストラクション4まとめ。
  25. 25. VM1: 難読化を解除した仮想命令構造 CFG
  26. 26. VM1: 難読化を解除した仮想命令構造 OUTRO CFG INTRO
  27. 27. OUTRO CFG INTRO
  28. 28. CFG INTRO レジェンダ Yellow – 仮想レジスタをプッシュ Red – 仮想レジスタのポップアップ、コ ンテキストの切り替え Green – アキュムレータレジスタへジャ ンプ OUTRO
  29. 29. • 仮想命令1、2、3 • VM2と同じ動作 VM1: 最初に実行される仮想命令
  30. 30. VM1: 最初に実行される仮想命令
  31. 31. VM1: 最初に実行される仮想命令 • 命令のマージ - POPとPUSHの操作などを含む • オペランドは、どの命令を実行するかを決定する • PUSH:
  32. 32. VM1: 最初に実行される仮想命令 • 命令のマージ - POPとPUSHの操作などを含む • オペランドは、どの命令を実行するかを決定する • POP:
  33. 33. • 命令のマージ - POPとPUSHの操作などを含む • オペランドは、どの命令を実行するかを決定する • PUSH/POP • オペランドを具象化することで単純化できる VM1: 最初に実行される仮想命令
  34. 34. VM1: バイトコードチャンクの難読化を解除する • VM2 と同じ方法を使用します。 • サマリーからグラフを構築する • 特定の値を具体的な値として扱う • ブロック間で特定の値を保持する • 両方の仮想マシンを一度に処理する。 • さらにVM2全体をコンクリート化す る • VM2 コンテキストへの割り当てを無 視する virtual_instruction2_1(vpc) virtual_instruction2_2(vpc) virtual_instruction2_1(vpc) virtual_instruction2_3(vpc) virtual_instruction2_4(vpc)
  35. 35. POPの連続ではなく、予期せぬ分岐 を含むグラフになった VM1: 難読化解除時の不透明な述語に関する問題
  36. 36. VM1: 難読化解除時の不透明な述語に関する問題 •ブランチは既知の値をチェックする • 値を適用して簡略化することができる • これは一種の不透明述語である
  37. 37. その手法は有効か?
  38. 38. 結果の分析 バイトコードブロック VM1 VM2 サイズ(バイト) 695 1,145 処理された仮想インストラクションの総数 62 109 基礎となるネイティブ命令の総数 3,536,427 17,406 IR命令(IRDstsを含む)の総数 192 307 実行時間(秒) 382 10
  39. 39. NON-OBFUSCATED SAMPLE* 処理されたServiceMainバイトコード OBFUSCATED
  40. 40. DEOBFUSCATED
  41. 41. ORIGINAL SAMPLE DEOBFUSCATED SIMPLIFIED mov R0, [R0] mov R1, 28
  42. 42. lea R2, BASE+0xE3808 ORIGINAL SAMPLE DEOBFUSCATED SIMPLIFIED
  43. 43. ORIGINAL SAMPLE DEOBFUSCATED
  44. 44. ORIGINAL SAMPLE DEOBFUSCATED
  45. 45. ORIGINAL SAMPLE DEOBFUSCATED lea R2, BASE+0x2FB0 mov R3, R0 SIMPLIFIED
  46. 46. ORIGINAL SAMPLE DEOBFUSCATED SIMPLIFIED lea Rdest, BASE+0x8C038
  47. 47. ORIGINAL SAMPLE DEOBFUSCATED lea Rdest, BASE+0x8C038 ... jmp Rdest RETaddr = &vm_pre_initX()
  48. 48. •シンボリック実行では、非束縛ループを 処理できない 制限事項 • このようなループを使用する命令は、他の手段 で対処する必要があります。
  49. 49. シンボリック実行は、正しい値を具体的なも のとして扱えば、高度で未知の仮想マシンを 合理的な時間でデヴァーチャライズするのに 役立つ テイクアウェイ
  50. 50. リンク集 ホワイトペーパーは、以下のサイトで 読むことができます。 WeLiveSecurity.com ソースコードの全文はこちら ESET git repository
  51. 51. www.eset.com | www.welivesecurity.com | @ESETresearch Vladislav Hrčka Malware Researcher vladislav.hrcka@eset.com | @HrckaVladislav 質問はありますか?

Editor's Notes

  • Subsequently to starting our analysis found a non-obfuscated sample – we weren’t motivated to fully deobfuscate the code
  • Since 2017 been focusing on reverse engineering challenging malware samples
    Computer Science student at the Comenius University in the first years of master’s degree
    BlackHat Arsenal, AVAR
  • Work like standard machines – machine code is bytecode here
    PC is offset to the bytecode here – not necessary
    Transfer of control from one virtual instruction to the next during interpretation needs to be performed by every VM. This process is generally known as dispatching
    Centralized interpreter – dispatcher – called direct call threading; can be also simple switch case
    Can be also inside of handlers – direct threading
  • Stored in sep.arate section
    Need context switch

    Bytecode is generated from a function
    Original function starts interpreter
    Interpreter is embedded in the executable
    Context switch needs to be performed
    Stored in a separate section
    Need context switch

    Bytecode is generated from a function
    Original function starts interpreter
    Interpreter is embedded in the executable
    Context switch needs to be performed



  • The strength of this obfuscation technique resides in the fact that the ISA of the VM is unknown to any prospective reverse engineer – a thorough analysis of the VM, which can be very time-consuming;
    Additionally, obfuscating VMs usually virtualize only certain “interesting” functions
  • SE in IR
    IRDst 1. stands for 2. is IR instruction pointer, e.g. cmov multiple blocks
    X bit value dereference
    Self explainable dereference
  • SE engine in Miasm automatically performs common optimization techniques
  • The VM used in the Wslink is a variant of CV (themida) that supports multiple VMs and polymorphic layers of obfuscation techniques. We found this out subsequently to publishing our research
  • The right side contains a part of the function
  • Why 1071? They are duplicated!
    Vm_init – Sync – shared virtual context in the memory
    Virtual program counter (VPC) register
    Base address register
    Instruction table register
  • Zdorazni nested VM – zacneme VM2
  • Rolling decryption – present in a blog about VM Protect’s structure
  • Make values relative to the bytecode ptr concrete
  • We’ve just deobfuscated one of the VM1 instructions
  • Let’s start with CFG
  • Reminder – atomic operations in blocks
  • Laser point – These IR blocks are effects of VM2 virtual instructions, they represent one VM1 virtual instruction together
  • Zeroes out a register, stores the RSP, initializes rolling decryption registers
  • A part of the instruction. When we inspected the code, we realized what the problem is
  • Memory range of the VMs is known – separate section
  • Let’s take a closer look at one of the branches

    <CLICK>
  • The branches check a known value
    We can apply the value and simplify it
    This is a sort of opaque predicates
  • We will show the results on the first executed bytecode, but before that show statistics
  • Before we look at the devirtualized bytecode, let’s see what the execution time is approximately like

    Let’s look at the deobfuscated bytecode block of VM1 <CLICK>

  • *We discovered the sample after starting our analysis
  • No ARM R0! – pseudocode close to assembly
  • Advanced – use junk code, duplicate and merge handlers, encrypt operands
    Right values – operands and registers for encryption

×