< p class="meta"> Door Charlie Osborne voor Zero Day | 27 juli 2021 — 10:13 GMT (11:13 BST) | Onderwerp: Beveiliging
Malware-ontwikkelaars wenden zich steeds meer tot ongebruikelijke of “exotische” programmeertalen om analyse-inspanningen te belemmeren, zeggen onderzoekers.
Volgens een nieuw rapport gepubliceerd door BlackBerry's Research & Inlichtingenteam op maandag, is er een recente “escalatie” geweest in het gebruik van Go (Golang), D (DLang), Nim en Rust, die vaker worden gebruikt om “te proberen detectie door de beveiligingsgemeenschap te ontwijken, of specifieke pijnpunten in hun ontwikkelingsproces aan te pakken.”
In het bijzonder experimenteren malwareontwikkelaars met loaders en droppers die in deze talen zijn geschreven en die zijn gemaakt om geschikt te zijn voor de eerste en volgende fase van malware-implementatie in een aanvalsketen.
BlackBerry's team zegt dat first-stage droppers en loaders steeds gebruikelijker worden om detectie op een doeleindpunt te voorkomen, en zodra de malware bestaande beveiligingscontroles heeft omzeild die in staat zijn om meer typische vormen van kwaadaardige code te detecteren, ze worden gebruikt voor het decoderen, laden en implementeren van malware, inclusief Trojaanse paarden.
Commodity-malware die in het rapport wordt genoemd, omvat de Remote Access Trojans (RAT's) Remcos en NanoCore. Daarnaast worden vaak Cobalt Strike bakens ingezet.
Sommige ontwikkelaars echter — met meer middelen tot hun beschikking — herschrijven hun malware volledig in nieuwe talen, zoals Buer to RustyBuer.
Op basis van de huidige trends zeggen de cybersecurity-onderzoekers dat Go van bijzonder belang is voor de cybercriminele gemeenschap.
Volgens BlackBerry nemen zowel door de staat gesponsorde APT-groepen (Advanced Persistent Threat) als ontwikkelaars van commodity-malware serieuze interesse in de programmeertaal om hun arsenaal te upgraden. In juni zei CrowdStrike dat een nieuwe ransomware-variant functies leende van HelloKitty/DeathRansom en FiveHands, maar een Go-packer gebruikte om de belangrijkste payload te versleutelen.
“Deze aanname is gebaseerd op het feit dat er nu semi-regelmatig nieuwe, op Go gebaseerde voorbeelden verschijnen, inclusief alle soorten malware, en gericht op alle belangrijke besturingssystemen in meerdere campagnes,” het team zegt.
Hoewel niet zo populair als Go, heeft DLang ook in 2021 een langzame toename in acceptatie ervaren.
Door nieuwe of meer ongebruikelijke programmeertalen te gebruiken, zeggen de onderzoekers dat ze reverse-engineering-inspanningen kunnen belemmeren en handtekeningen kunnen vermijden -gebaseerde detectietools, evenals de cross-compatibiliteit ten opzichte van doelsystemen. De codebase zelf kan ook een verborgen laag toevoegen zonder enige verdere inspanning van de malware-ontwikkelaar, simpelweg vanwege de taal waarin het is geschreven.
“Malware-auteurs staan bekend om hun vermogen om hun vaardigheden en gedrag aan te passen en aan te passen om te profiteren van nieuwere technologieën”, zegt Eric Milam, VP Threat Research bij BlackBerry. “Dit heeft meerdere voordelen van de ontwikkelingscyclus en het inherente gebrek aan dekking van beschermende oplossingen. Het is van cruciaal belang dat de industrie en klanten deze trends begrijpen en in de gaten houden, aangezien ze alleen maar zullen toenemen.”
Eerdere en gerelateerde berichtgeving
Microsoft: we hebben deze tool open source gemaakt die we gebruikten om door SolarWinds-hackers op code te jagen
Deze malware is geschreven in een ongebruikelijke programmeertaal om te voorkomen dat wordt gedetecteerd
GitHub: Zo veranderen we onze regels rond onderzoek naar malware en softwarekwetsbaarheid
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 