СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.12.2025
#ИБ

TinySHell-производный ELF-бэкдор: извлечение RC4-конфигурации с FLARE capa

В отчёте рассматриваются технические детали облегчённого Linux-бэкдора — производного от TinySHell с открытым исходным кодом — который используется для скрытого удалённого доступа к скомпрометированным системам. Этот вариант специально сконструирован как разделённый двоичный файл ELF, лишённый идентифицируемых метаданных, что повышает его скрытность и эффективность при долгосрочном шпионаже.

Ключевые характеристики бэкдора

  • Разделённый ELF-бинарь без очевидных символов и метаданных — усложняет статический анализ.
  • Сетевой компонент подключается к серверу управления (C2) через пользовательский протокол аутентификации.
  • Включён модуль бэкдора, способный выполнять удалённые команды и устанавливать интерактивную оболочку.
  • Строки и конфигурационные данные скрываются с помощью шифрования RC4, вызов которого встречается многократно по всему бинарнику.

Инструменты и методология анализа

Важной составной частью анализа является использование FLARE capa — инструмента с открытым исходным кодом для обнаружения возможностей вредоносного ПО. capa выполняет статический анализ исполняемых форматов, извлекая вызовы API, шаблоны управления потоком и сопоставляя их с правилами в формате YAML, которые описывают высокоуровневые функции (например, внедрение кода в процесс или закрепление в системе).

Отчёт подробно описывает конвейер извлечения конфигурации, основанный на интеграции capa с кастомным экстрактором на базе Python. Цель конвейера — идентифицировать криптографические процедуры в таких «разделённых» бинарниках и автоматически извлечь зашифрованные объекты, включая сведения о C2.

Поиск функции расшифровки и роль flare-capa

Чтобы обнаружить функцию расшифровки RC4, экстрактор использует пакет flare-capa для запуска capa либо как автономного инструмента, либо как плагина в составе декомпилятора (например, IDA). В процессе анализа инструмент сопоставляет представление FLARE-capa с предопределёнными правилами, что позволяет точно определить адрес функции по характерным шаблонам — в частности, по признакам наличия RC4 PRGA.

Для повышения производительности экстрактор загружает минимальный набор необходимых правил, оставляя только те, которые гарантируют надёжное определение целевых криптографических процедур.

Восстановление ключа и извлечение конфигурации

Процесс восстановления симметричного ключа в отчёте показан детально. Экстрактор идентифицирует ключ, анализируя операции со стеком: последовательность инструкций, помещающих фрагменты строк в стек, — именно эти фрагменты составляют общий ключ шифрования.

После успешного обнаружения функции RC4 и извлечения ключа экстрактор:

  • перечисляет зашифрованные бинарные объекты внутри разделённого ELF;
  • раскрывает те из них, которые содержат критичные данные (включая адреса C2 и конфигурационные параметры);
  • предоставляет аналитикам восстановленные строки и контекст вызовов для дальнейшего расследования.

Значение методологии

Описание демонстрирует надёжный подход к анализу современных «скрытных» бэкдоров:

  • показано, как инструменты на базе capa могут использоваться не только для распознавания возможностей, но и как часть автоматизированного пайплайна извлечения конфигурации;
  • подчёркнута важность поиска характерных криптографических шаблонов (например, RC4 PRGA) в условиях отсутствия символов и метаданных;
  • продемонстрирована практическая схема восстановления ключа через анализ операций со стеком, применимая к другим «разделённым» бинарникам.

Вывод

Исследование подтверждает, что даже хорошо маскированные «разделённые» ELF-бинарники с минимальной метаинформацией можно эффективно анализировать с помощью сочетания FLARE capa и целевого экстрактора на Python. Подход, основанный на обнаружении криптографических процедур и восстановлении ключей из контекста выполнения, позволяет извлечь конфигурацию бэкдора — включая адреса C2 — и существенно облегчает дальнейшее реагирование и атрибуцию инцидентов.

Практический смысл: интеграция capa в автоматизированные конвейеры анализа повышает скорость и точность обнаружения скрытых возможностей вредоносного ПО и делает возможным извлечение жизненно важных данных из бинарников, специально спроектированных для противодействия статическому анализу.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: