详细内容或原文请订阅后点击阅览
介绍 Nimfilt:用于 Nim 编译二进制文件的逆向工程工具
Nimfilt 既可用作 IDA 插件,也可用作 Python 脚本,通过分解包和函数名称以及将结构应用于字符串,帮助对使用 Nim 编程语言编译器编译的二进制文件进行逆向工程
来源:WeLiveSecurity _恶意软件Nim 编程语言因其强大的编译器和与其他语言轻松协作的能力而对恶意软件开发人员越来越有吸引力。Nim 的编译器可以将 Nim 编译为 JavaScript、C、C++ 和 Objective-C,并为 Windows、Linux、macOS、Android 和 iOS 等主要操作系统进行交叉编译。此外,Nim 支持从上述语言导入函数和符号,以及从 Windows 的动态链接库和 Linux 的共享库导入。还提供 Nim 包装器模块,例如 Winim,使与操作系统的交互变得轻松。所有这些功能都允许使用这些语言将 Nim 轻松集成到开发管道中,并促进新工具(无论是良性的还是恶意的)的开发。
Nim 编译 Winim因此,ESET Research 发现在野外持续使用 Nim 开发的恶意软件也就不足为奇了。早在 2019 年,Sednit 就被发现使用用 Nim 编写的恶意下载器。另一个玩 Nim 游戏的臭名昭著的组织,也是开发 Nimfilt 的动力,是 Mustang Panda APT 组织。ESET Research 记录了 Mustang Panda 首次在其工具集中使用 Nim,这是在 2023 年 8 月针对斯洛伐克政府组织的活动中。检测到的恶意 DLL(并用作该组织经典 trident Korplug 加载器的一部分)是用 Nim 编写的。
发现 Nimfilt Mustang Panda Mustang Panda 使用 Nim trident对于负责对此类二进制文件进行逆向工程的研究人员来说,Nimfilt 是一种加快分析速度的强大工具。虽然 Nimfilt 可以在命令行(使用其部分功能)和 Hex-Rays 的 IDA 程序中作为 Python 脚本运行,但这里主要将其作为 IDA 的 Python 插件介绍。
IDA在 IDA 中初始化 Nimfilt
- NimMainNimMainInnerNimMainModule