根据黑莓研究与情报团队周一发布的一份新报告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因,则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。
(来自:Blackberry)
特点是,恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳,主流安全分析手段或难以察觉初步和进阶的恶意软件部署。
- 黑莓团队表示,为避免在目的端点上被揪出,一阶释放器与加载器正变得越来越普遍。
- 一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制,就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。
报告中点名的恶意软件,包括了 Remcos 和 NanoCore 远程访问木马(RAT),以及常见的 Cobalt Strike 信标。
然而一些拥有更多资源的恶意软件开发者,正在将他们的恶意软件通过冷门语言来重新包装,比如 Buer 或 RustyBuer 。
基于当前的趋势,安全研究人员表示,网络犯罪社区对 Go 语言的兴趣尤为浓厚。
- 黑莓称,有深厚背景的高级持续性威胁(APT)组织、以及商品化的恶意软件开发者,都相当有意于通过冷门语言来升级他们的武器库。
- 今年 6 月,CrowdStrike 亦曝光了一款勒索软件新变种,可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能,且通过 Go 语言对其主要负载进行加密封包。
之所以作出这样的假设,是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件,还针对多个活动中的所有主要操作系统。
此外尽管 DLang 不像 Go 那样“流行”,其在 2021 开年至今的采用率也在缓步上升。
- 研究人员指出,通过使用新颖或不寻常的编程语言,恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。
- 此外他们正在避免使用基于签名的检测工具,提升目标系统的交叉兼容性,且代码库本身也可能套上一层来隐藏。
最后,黑莓威胁研究副总裁 Eric Milam 评论道:恶意软件制作者以快速适应和修改利用新技能而被业界所熟知,但行业客户也必须对这样的重要趋势提高警惕,因为将来的安全形势只会变得更加严峻。
