< p class = "meta"> Af Charlie Osborne til Zero Day | 27. juli 2021 – 10:13 GMT (11:13 BST) | Emne: Sikkerhed
Malwareudviklere henvender sig i stigende grad til usædvanlige eller “eksotiske” programmeringssprog for at hæmme analyseindsatsen, siger forskere.
Ifølge en ny rapport offentliggjort af BlackBerry's Research & amp; Efterretningsteam mandag har der for nylig været en “eskalering” i brugen af Go (Golang), D (DLang), Nim og Rust, som bruges mere almindeligt til at “forsøge at undgå afsløring af sikkerhedsfællesskabet, eller adressere specifikke smertepunkter i deres udviklingsproces. ”
Især eksperter på malware eksperimenterer med indlæsere og droppere skrevet på disse sprog, der er skabt til at være egnet til implementering af malware i første og videre fase i en angrebskæde.
BlackBerrys team siger, at droppere og indlæsere i første fase bliver mere almindelige for at undgå detektion på et målendepunkt, og når malware har omgået eksisterende sikkerhedskontroller, der er i stand til at opdage mere typiske former for ondsindet kode, de bruges til at afkode, indlæse og implementere malware inklusive trojanske heste.
Commodity-malware, der er citeret i rapporten, inkluderer Remcos og NanoCore Remote Access Trojans (RAT). Derudover indsættes Cobalt Strike-fyr ofte.
Nogle udviklere omskriver imidlertid deres malware fuldt ud til nye sprog – med flere ressourcer til deres rådighed – et eksempel er Buer til RustyBuer.
Baseret på aktuelle tendenser siger cybersikkerhedsforskerne, at Go er af særlig interesse for cyberkriminalsamfundet.
Ifølge BlackBerry tager både avancerede vedvarende trussel (APT) statsstøttede grupper og handelsvareudviklere alvorlig interesse i programmeringssproget for at opgradere deres arsenaler. I juni sagde CrowdStrike, at en ny ransomware-variant lånte funktioner fra HelloKitty/DeathRansom og FiveHands, men brugte en Go-pakker til at kryptere dens vigtigste nyttelast.
“Denne antagelse er baseret på det faktum, at nye Go-baserede prøver nu vises semi-regelmæssigt, inklusive malware af alle typer, og målretter mod alle større operativsystemer på tværs af flere kampagner,” teamet siger.
Selvom DLang ikke er så populær som Go, har DLang også oplevet en langsom stigning i adoption gennem 2021.
Ved at bruge nye eller mere usædvanlige programmeringssprog siger forskerne, at de kan hæmme reverse engineering-indsats og undgå underskrift -baserede detektionsværktøjer samt forbedrer krydskompatibilitet over målsystemer. Selve kodebasen kan også tilføje et skjulingslag uden yderligere indsats fra malwareudvikleren simpelthen på grund af det sprog, det er skrevet på.
“Malwareforfattere er kendt for deres evne til at tilpasse og ændre deres færdigheder og adfærd for at drage fordel af nyere teknologier,” kommenterede Eric Milam, VP for Threat Research hos BlackBerry. “Dette har flere fordele ved udviklingscyklussen og iboende mangel på dækning fra beskyttende løsninger. Det er afgørende, at industrien og kunderne forstår og holder øje med disse tendenser, da de kun vil stige.”
Tidligere og relateret dækning
Microsoft: Vi har åben-sourced dette værktøj, vi brugte til at jage efter kode af SolarWinds hackere
Denne malware blev skrevet på et usædvanligt programmeringssprog for at forhindre det i bliver opdaget
GitHub: Sådan ændrer vi vores regler omkring malware- og softwaresårbarhedsundersøgelser
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 