< p class="meta"> Von Charlie Osborne für Zero Day | 27. Juli 2021 — 10:13 GMT (11:13 BST) | Thema: Sicherheit
Malware-Entwickler wenden sich zunehmend ungewöhnlichen oder “exotischen” Programmiersprachen zu, um die Analysebemühungen zu behindern, sagen Forscher.
Laut einem neuen Bericht von BlackBerry Research & Geheimdienstteam am Montag gab es kürzlich eine “Eskalation” bei der Verwendung von Go (Golang), D (DLang), Nim und Rust, die häufiger verwendet werden, um “zu versuchen, der Entdeckung durch die Sicherheitsgemeinschaft zu entgehen, oder spezifische Pain Points in ihrem Entwicklungsprozess ansprechen.”
Insbesondere experimentieren Malware-Entwickler mit in diesen Sprachen geschriebenen Loadern und Droppern, die für die erste und weitere Malware-Bereitstellung in einer Angriffskette geeignet sind.
Das Team von BlackBerry sagt, dass Dropper und Loader der ersten Stufe immer häufiger werden, um eine Erkennung auf einem Zielendpunkt zu vermeiden, und sobald die Malware bestehende Sicherheitskontrollen umgangen hat, die in der Lage sind, typischere Formen von bösartigem Code zu erkennen, Sie werden verwendet, um Malware, einschließlich Trojaner, zu entschlüsseln, zu laden und bereitzustellen.
Zu den in dem Bericht genannten Commodity-Malware gehören die Remote Access Trojans (RATs) Remcos und NanoCore. Darüber hinaus werden häufig Cobalt-Strike-Beacons eingesetzt.
Einige Entwickler jedoch – mit mehr Ressourcen zur Verfügung – schreiben ihre Malware vollständig in neue Sprachen um, ein Beispiel ist Buer zu RustyBuer.
Basierend auf aktuellen Trends sagen die Cybersicherheitsforscher, dass Go für die Cyberkriminelle von besonderem Interesse ist.
Laut BlackBerry interessieren sich sowohl staatlich geförderte Gruppen von Advanced Persistent Threat (APT) als auch Entwickler von Standard-Malware ernsthaft für die Programmiersprache, um ihre Arsenale zu aktualisieren. Im Juni sagte CrowdStrike, eine neue Ransomware-Variante habe Funktionen von HelloKitty/DeathRansom und FiveHands übernommen, aber einen Go-Packer verwendet, um ihre Hauptnutzlast zu verschlüsseln.
“Diese Annahme basiert auf der Tatsache, dass jetzt halbregelmäßig neue Go-basierte Beispiele erscheinen, einschließlich Malware aller Art und auf alle wichtigen Betriebssysteme in mehreren Kampagnen ausgerichtet”, so das Team sagt.
Obwohl es nicht so beliebt ist wie Go, hat auch DLang im Laufe des Jahres 2021 einen langsamen Anstieg der Akzeptanz erfahren.
Durch die Verwendung neuer oder ungewöhnlicherer Programmiersprachen könnten die Forscher Reverse-Engineering-Bemühungen behindern und Signaturen vermeiden -basierte Erkennungstools sowie die Verbesserung der Kreuzkompatibilität gegenüber Zielsystemen. Die Codebasis selbst kann auch aufgrund der Sprache, in der sie geschrieben ist, ohne weitere Bemühungen des Malware-Entwicklers eine Verschleierungsebene hinzufügen.
“Malware-Autoren sind dafür bekannt, ihre Fähigkeiten und Verhaltensweisen anzupassen und zu modifizieren, um die Vorteile neuer Technologien zu nutzen”, kommentierte Eric Milam, VP of Threat Research bei BlackBerry. “Dies hat mehrere Vorteile aus dem Entwicklungszyklus und dem inhärenten Mangel an Abdeckung durch Schutzlösungen. Es ist wichtig, dass Industrie und Kunden diese Trends verstehen und im Auge behalten, da sie nur zunehmen werden.”
Frühere und verwandte Berichte
Microsoft: Wir haben dieses Tool, das wir verwendet haben, um nach Code von SolarWinds-Hackern zu suchen, als Open Source bereitgestellt.
Diese Malware wurde in einer ungewöhnlichen Programmiersprache geschrieben, um dies zu verhindern wird erkannt
GitHub: So ändern wir unsere Regeln zur Erforschung von Malware- und Software-Schwachstellen
Hast du einen Tipp? Sichere Kontaktaufnahme über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 