Нино Исакович и Чуонг Донг опубликовали запись в блоге под названием «LummaC2: Obfuscation Through Indirect Control Flow». В этой записи подробно рассматривается анализ метода обфускации потока управления, используемого в последних образцах стиллера LummaC2 (LUMMAC.V2). В дополнение к традиционному методу выравнивания потока управления, используемому в более старых версиях, вредоносное ПО теперь использует настраиваемую косвенность потока управления для манипулирования выполнением вредоносного ПО. Этот метод сводит на нет все инструменты бинарного анализа, включая IDA Pro и Ghidra, что значительно затрудняет как процесс обратного проектирования, так и инструменты автоматизации, предназначенные для захвата артефактов выполнения и генерации обнаружений. Чтобы предоставить информацию группам безопасности Google и Mandiant, авторы разработали автоматизированный метод удаления этого уровня защиты с помощью символьного обратного среза. Используя восстановленный поток управления, они могут восстановить и деобфусцировать образцы в формат, легко потребляемый любой платформой статического бинарного анализа. Я считаю особенно интересным использование символьного обратного среза для удаления этого уровня защиты. Этот подход может быть весьма эффективным для снижения эффективности методов обфускации потока управления. Я считаю, что это исследование будет очень ценным для аналитиков вредоносных программ, стремящихся повысить свои возможности в области обратного проектирования.