Злоумышленники все чаще переходят на «экзотические» языки программирования, такие как Go, Rust, Nim и Dlang, которые позволяют лучше обходить традиционные средства защиты, уклоняться от анализа и затруднять попытки реверс-инжиниринга.
«Авторы вредоносных программ известны своей способностью адаптироваться и изменять свои навыки и поведение, чтобы использовать преимущества новых технологий» - заявил Эрик Милам, вице-президент по исследованиям угроз в BlackBerry. «Такое поведение имеет множество плюсов со стороны цикла разработки и отсутствия покрытия со стороны защитных продуктов».
С одной стороны, такие языки, как Rust, более безопасны, поскольку при разработке предлагают программирование с защитой памяти и прочие защитные механизмы, но одновременно с этим разработчики вредоносных программ могут злоупотреблять теми же функциями, призванными обеспечить повышенную защиту, в своих интересах, тем самым делая вредоносные программы менее восприимчивыми к выявлению и пресечению их вредоносной деятельности.
Отметив, что двоичные файлы, написанные на этих языках, при разборке могут выглядеть более сложными и запутанными, исследователи заявили, что такой поворот добавляет дополнительные уровни обфускации просто в силу того, что методики относительно новые, что приводит к сценарию, когда старые вредоносные программы, разработанные с использованием традиционных языков, таких как C++ и C#, активно дорабатываются дропперами и загрузчиками, написанными на необычных альтернативных языках, чтобы обойти обнаружение системами безопасности конечных точек.
Ранее в этом году компания Proofpoint, специализирующаяся на корпоративной безопасности, обнаружила новые вредоносные программы, написанные на языках Nim (NimzaLoader) и Rust (RustyBuer), которые, по ее словам, используются в активных кампаниях по распространению и развертыванию штаммов Cobalt Strike и программ-вымогателей с помощью социальной инженерии. Аналогичным образом, CrowdStrike в прошлом месяце обнаружила образец шифровальщика, который заимствовал реализацию у предыдущих вариантов HelloKitty и FiveHands, используя упаковщик Golang для шифрования основной выредоносной нагрузки на базе C++.
Ниже приведены некоторые из ярких примеров вредоносных программ, написанных на этих языках за последнее десятилетие.
- Dlang - DShell, Vovalex, OutCrypt, RemcosRAT;
- Go - ElectroRAT, EKANS (он же Snake), Zebrocy, WellMess, ChaChi;
- Nim - NimzaLoader, Zebrocy, DeroHE, загрузчики Cobalt Strike на базе Nim;
- Rust - Convuster Adware, RustyBuer, TeleBots Downloader и Backdoor, NanoCore Dropper, PyOxidizer.
«Программы, написанные с использованием тех же вредоносных методов, но на новом языке, обычно не обнаруживаются с той же скоростью, что и программы, написанные на более привычном языке» - заключили исследователи BlackBerry.
«Загрузчики, дропперы и врапперы во многих случаях просто изменяют первый этап процесса заражения, а основные компоненты кампании остаются прежними. Это самая свежая тенденция среди злоумышленников, которые перемещают линию фронта за пределы действия защитного программного обеспечения, которое может и не сработать на более поздних этапах кибератаки».
Источник: https://thehackernews.com
