Analysez des logiciels malveillants plus rapidement avec hrtng — Georgy Kucherin
Date : 05 juin 2025 à 10:15 — 15 min.
De nos jours, la rétro-ingénierie des logiciels malveillants est un processus complexe qui nécessite généralement la réalisation d'activités telles que le désobscurcissement de code, le décryptage de chaînes ou la résolution des hashes d'API. Pour pouvoir résoudre rapidement ces tâches et bien d'autres rencontrées lors de l'analyse des logiciels malveillants, nous avons développé notre plugin hrtng pour IDA Pro. Il fonctionne comme un multi-tool et implémente environ 40 fonctionnalités utiles en rétro-ingénierie.
Dans notre présentation, nous ferons une démonstration en direct des capacités de hrtng en analysant un échantillon de PlugX, un malware fréquemment déployé par les acteurs de menaces avancées sinophones. Nous utiliserons d’abord les fonctionnalités d’analyse d’objets COM et de décryptage de données de hrtng pour examiner le loader de PlugX et en extraire la payload de la deuxième phase. Ensuite, nous continuerons avec la rétro-ingénierie de la payload extraite pour comprendre sa logique. Nous le ferons à l’aide des fonctions de résolution des hashes d'API et d’analyse de table de fonctions virtuelles, qui sont implémentées dans le plugin. Enfin, nous utiliserons la fonctionnalité de décryptage de chaînes en masse de hrtng pour extraire des indicateurs de compromission, tels que les adresses des serveurs C&C et les chemins de fichiers.
Le code source du plugin, ainsi que ses versions compilées, sont disponibles gratuitement sur GitHub sous licence GPLv3. Ils sont accessibles via le lien suivant: https://github.com/KasperskyLab/hrtng.