Source: Elastic Security Labs. Elastic Security Labs annonce nightMARE v0.16, une bibliothèque Python open source dédiée à l’analyse de malwares et au reverse engineering, accompagnée d’un tutoriel détaillé pour construire un extracteur de configuration du stealer LUMMA.
🛠️ nightMARE v0.16 s’appuie sur le framework Rizin (via rz-pipe) pour le désassemblage et l’analyse, unifiant en un seul socle des capacités auparavant réparties sur plusieurs dépendances (remplacement de LIEF, Capstone, SMDA). Le module propose de l’analyse statique, de l’émulation d’instructions, et des implémentations d’algorithmes spécifiques aux malwares.
🔬 La classe WindowsEmulator utilise le moteur Unicorn pour l’émulation de binaires PE sous Windows, avec hooking de l’IAT et possibilité d’appeler directement des fonctions. Cette intégration permet de combiner efficacement analyse statique et émulation pour extraire des configurations.
📦 Le tutoriel LUMMA met en pratique:
- le pattern matching pour localiser le code d’initialisation ChaCha20;
- l’extraction de clés cryptographiques depuis les opérandes d’instructions;
- la localisation des listes de domaines chiffrées via l’analyse des références croisées;
- l’émulation pour invoquer les fonctions de décryption natives.
🧩 La bibliothèque prend en charge l’extraction de configuration pour plusieurs familles de malwares, dont LUMMA, Remcos et RedLine Stealer.
TTPs observés:
- Analyse statique et désassemblage via Rizin;
- Émulation de PE Windows avec Unicorn;
- Hooking IAT et appels directs de fonctions natives;
- Pattern matching de routines crypto (ex. ChaCha20);
- Cross-reference analysis pour localiser des artefacts chiffrés.
IOCs:
- Aucun IOC fourni dans l’article.
Type d’article: mise à jour d’outil open source et tutoriel technique visant à illustrer l’extraction de configuration de malwares.
🔗 Source originale : https://www.elastic.co/security-labs/nightmare-on-0xelm-street
🖴 Archive : https://web.archive.org/web/20251014200535/https://www.elastic.co/security-labs/nightmare-on-0xelm-street