Elastic Security Labs đã chính thức phát hành phiên bản nightMARE 0.16, một thư viện Python toàn diện được thiết kế để hợp lý hóa quy trình phân tích mã độc và kỹ thuật đảo ngược (reverse engineering). Công cụ mã nguồn mở này tích hợp nhiều khả năng phân tích vào một khung duy nhất, cho phép các nhà nghiên cứu bảo mật trích xuất dữ liệu cấu hình và chỉ số tình báo từ các họ mã độc phổ biến một cách hiệu quả hơn.

Giải pháp cho Thách thức trong Phân tích Mã độc

Sự phát triển của nightMARE giải quyết một thách thức quan trọng mà các nhà phân tích mã độc phải đối mặt: quản lý nhiều phụ thuộc và giảm trùng lặp mã giữa các công cụ phân tích. Trước đây, Elastic Security Labs đã sử dụng các module Python riêng biệt, bao gồm LIEF để phân tích tệp thực thi, Capstone để dịch ngược (disassembly) và SMDA để phân tích tham chiếu chéo. Cách tiếp cận phân mảnh này tạo ra sự phức tạp trong bảo trì và giảm hiệu quả quy trình làm việc. Thông tin chi tiết có tại: Elastic Security Labs.

Để giải quyết vấn đề này, nhóm phát triển đã tích hợp Rizin, một framework kỹ thuật đảo ngược mã nguồn mở được phân nhánh từ Radare2, làm backend chính. Kiến trúc module của Rizin, với bộ tính năng mở rộng và giao diện dựa trên lệnh, cung cấp cho các nhà nghiên cứu khả năng phân tích mạnh mẽ. Đặc biệt, module rz-pipe đóng vai trò cầu nối, cho phép tích hợp Python liền mạch để điều khiển và truy xuất dữ liệu từ Rizin, từ đó mở rộng đáng kể khả năng tự động hóa và tùy chỉnh quy trình phân tích. Việc hợp nhất này giúp giảm đáng kể các phụ thuộc của bên thứ ba trong khi mở rộng chức năng phân tích.

Kiến trúc Module của nightMARE

Thư viện nightMARE được tổ chức thành ba module cốt lõi, mỗi module đảm nhận một chức năng cụ thể trong quy trình phân tích mã độc:

• Module Analysis: Xử lý phân tích mã độc nhị phân tĩnh thông qua dịch ngược và mô phỏng tập lệnh.
• Module Core: Cung cấp các tiện ích thiết yếu cho các thao tác bitwise, chuyển đổi kiểu số nguyên và trích xuất cấu hình bằng cách sử dụng các mẫu biểu thức chính quy lặp lại.
• Module Malware: Chứa các triển khai thuật toán được tổ chức theo họ và phiên bản mã độc. Module này bao gồm các chức năng mật mã, các quy trình giải nén và các bộ trích xuất cấu hình.

Các Kỹ thuật Phân tích Đa dạng

nightMARE cung cấp hai kỹ thuật phân tích bổ trợ, giải quyết các kịch bản kỹ thuật đảo ngược khác nhau.

Module Reversing

Module này cung cấp một lớp trừu tượng (abstraction layer) trên chức năng của Rizin, đưa ra các tính năng thường được sử dụng mà không yêu cầu kiến thức sâu về framework. Các nhà phân tích có thể thực hiện khớp mẫu (pattern matching), dịch ngược, phân tích tham chiếu chéo và trích xuất dữ liệu thông qua các lệnh gọi hàm đơn giản, tự động xử lý các lệnh Rizin cơ bản.

Module Emulation

Module mô phỏng, được xây dựng lại trong phiên bản 0.16, tận dụng khả năng của Rizin cùng với engine Unicorn để thực thi các đoạn mã từ các mẫu mã độc. Ví dụ, một binary có thể sử dụng hàm Sleep tại địa chỉ 0x140006404.

Lớp WindowsEmulator được thiết kế để cung cấp khả năng mô phỏng tệp PE (Portable Executable) một cách nhẹ nhàng. Thay vì mô phỏng toàn bộ hệ thống với tất cả các thành phần phức tạp, lớp này tập trung vào việc thực thi các chuỗi mã cụ thể từ mẫu mã độc. Cách tiếp cận này giúp cô lập và phân tích hiệu quả các phần mã quan trọng mà không cần tiêu tốn tài nguyên cho một môi trường mô phỏng đầy đủ.

Cách tiếp cận này đặc biệt có giá trị khi phân tích mã độc bị che giấu (obfuscated) bằng cách xây dựng dữ liệu thủ công trên stack hoặc triển khai các hàm mật mã tùy chỉnh. Thay vì tự triển khai lại các thuật toán phức tạp, các nhà phân tích có thể gọi trực tiếp các hàm của mã độc trong một môi trường mô phỏng được kiểm soát. Khả năng mô phỏng này mang lại những lợi thế thực tế đáng kể. Ví dụ, khi phân tích mã độc đẩy dữ liệu được mã hóa lên stack, các nhà nghiên cứu có thể mô phỏng toàn bộ khối mã và đọc kết quả giải mã thay vì truy tìm từng lệnh một cách tỉ mỉ. Tương tự, khi gặp các triển khai mật mã độc quyền, các nhà phân tích có thể gọi các hàm giải mã hiện có của mã độc thay vì phải reverse engineering và triển khai lại các thuật toán từ đầu.

Ứng dụng Thực tế: Trích xuất Cấu hình LUMMA Stealer

Để minh họa khả năng của nightMARE, Elastic Security Labs đã cung cấp một hướng dẫn chi tiết để trích xuất dữ liệu cấu hình từ LUMMA Stealer, một mã độc đánh cắp thông tin vẫn hoạt động trong các chiến dịch lây nhiễm bất chấp hoạt động gỡ bỏ vào tháng 5 năm 2025. LUMMA kết hợp kỹ thuật làm rối luồng điều khiển (control flow obfuscation) và mã hóa ChaCha20 để làm phức tạp cả phân tích tĩnh và động.

Quy trình Trích xuất Cấu hình

Quá trình trích xuất bao gồm bốn bước chính:

1. Khớp mẫu: Xác định vị trí mã khởi tạo ChaCha20 và trích xuất khóa giải mã (decryption key) cùng nonce từ các toán hạng lệnh.
2. Nhận dạng hàm giải mã: Xác định hàm giải mã bằng cách khớp các mẫu hex từ mã tải các import của WinHTTP.
3. Phân tích tham chiếu chéo: Từ hàm giải mã, phân tích tham chiếu chéo để tìm địa chỉ cơ sở nơi các tên miền C2 (Command-and-Control) được mã hóa được lưu trữ.
4. Thực thi mô phỏng: Module mô phỏng gọi trực tiếp hàm giải mã ChaCha20 của mã độc để giải mã các tên miền, loại bỏ nhu cầu triển khai lại thuật toán mật mã tùy chỉnh.

Phương pháp này đã trích xuất thành công chín URL Command-and-Control (C2) từ mẫu được phân tích. Điều này minh chứng cách nightMARE giảm thời gian phân tích bằng cách kết hợp khớp mẫu, dịch ngược và mô phỏng trong một quy trình làm việc gắn kết. Mã nguồn đầy đủ có sẵn trong kho lưu trữ GitHub của dự án: Elastic/nightMARE GitHub.

Phạm vi Hỗ trợ Mã độc và Cập nhật Cộng đồng An ninh mạng

Với phiên bản 0.16, nightMARE hỗ trợ trích xuất cấu hình và phân tích mã độc cho mười ba họ mã độc, bao gồm Blister, GhostPulse, Latrodectus, Lobshot, LUMMA, NetWire, RedLine Stealer, Remcos, SmokeLoader, StealC, Strela Stealer, và XorDDos. Các thuật toán của từng họ mã độc được triển khai dưới dạng các submodule, minh họa các ứng dụng thực tế của khả năng phân tích của thư viện.

Elastic Security Labs thừa nhận rằng bản chất phát triển nhanh chóng của mã độc đặt ra những thách thức bảo trì liên tục. Các tác nhân đe dọa thường xuyên sửa đổi mã độc để né tránh việc phát hiện và phân tích, đòi hỏi phải cập nhật liên tục các bộ trích xuất cấu hình và triển khai thuật toán. Nhóm phát triển hoan nghênh sự đóng góp của cộng đồng thông qua gửi mã trực tiếp hoặc báo cáo vấn đề để giúp mở rộng phạm vi bao phủ và duy trì khả năng tương thích với các biến thể mã độc mới nổi. nightMARE đại diện cho một đóng góp quan trọng cho cộng đồng an ninh mạng mã nguồn mở, cung cấp cho các nhà nghiên cứu khả năng phân tích mã độc cấp doanh nghiệp trước đây bị phân tán trên nhiều công cụ. Bằng cách hợp nhất các chức năng kỹ thuật đảo ngược vào một framework thống nhất, được cung cấp bởi Rizin, thư viện này cho phép trích xuất tình báo mối đe dọa và quy trình phân tích mã độc hiệu quả hơn.