Nino Isakovic y Chuong Dong publicaron una entrada de blog titulada "LummaC2: Ofuscación a través del flujo de control indirecto". Esta entrada del blog profundiza en el análisis de una técnica de ofuscación del flujo de control empleada por muestras recientes del ladrón LummaC2 (LUMMAC.V2). Además de la técnica tradicional de aplanamiento del flujo de control utilizada en versiones anteriores, el malware ahora aprovecha la redirección del flujo de control personalizada para manipular la ejecución del malware. Esta técnica frustra todas las herramientas de análisis binario, incluidas IDA Pro y Ghidra, lo que dificulta significativamente el proceso de ingeniería inversa y las herramientas de automatización diseñadas para capturar artefactos de ejecución y generar detecciones. Para proporcionar información a los equipos de seguridad de Google y Mandiant, los autores desarrollaron un método automatizado para eliminar esta capa de protección a través del corte hacia atrás simbólico. Al aprovechar el flujo de control recuperado, pueden reconstruir y desofuscar las muestras en un formato fácilmente consumible para cualquier plataforma de análisis binario estático. Encontré particularmente interesante el uso del corte hacia atrás simbólico para eliminar esta capa de protección. Este enfoque puede ser bastante eficaz para mitigar la eficacia de las técnicas de ofuscación del flujo de control. Creo que esta investigación será muy valiosa para los analistas de malware que buscan mejorar sus capacidades de ingeniería inversa.