根據黑莓研究與情報團隊周一發布的一份新報告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 編程語言的使用率迎來了較大的增幅。背後的原因,則是惡意軟件開發者正試圖藉助冷門的編程語言來躲避安全社區的分析檢測、或解決開發過程中遇到的某些痛點。
(來自:Blackberry)
特點是,惡意軟件開發者正在試圖利用冷門編程語言來便攜加載器和釋放器。通過這套組合拳,主流安全分析手段或難以察覺初步和進階的惡意軟件部署。
黑莓團隊表示,為避免在目的端點上被揪出,一階釋放器與加載器正變得越來越普遍。
一旦惡意軟件繞過了能夠檢測更典型惡意代碼形式的現有安全機制,就會進一步解碼、加載和部署包括特洛伊木馬在內的惡意軟件。
報告中點名的惡意軟件,包括了 Remcos 和 NanoCore 遠程訪問木馬(RAT),以及常見的 Cobalt Strike 信標。
然而一些擁有更多資源的惡意軟件開發者,正在將他們的惡意軟件通過冷門語言來重新包裝,比如 Buer 或 RustyBuer 。
基於當前的趨勢,安全研究人員表示,網絡犯罪社區對 Go 語言的興趣尤為濃厚。
黑莓稱,有深厚背景的高級持續性威脅(APT)組織、以及商品化的惡意軟件開發者,都相當有意於通過冷門語言來升級他們的武器庫。
今年 6 月,CrowdStrike 亦曝光了一款勒索軟件新變種,可知其借鑒了 HelloKitty / DeathRansom 和 FiveHands 的功能,且通過 Go 語言對其主要負載進行加密封包。
之所以作出這樣的假設,是因為基於 Go 語言的新樣本正在“半定期”地出現。其不僅涵蓋了所有類型的惡意軟件,還針對多個活動中的所有主要操作系統。
此外儘管 DLang 不像 Go 那樣“流行”,其在 2021 開年至今的採用率也在緩步上升。
研究人員指出,通過使用新穎或不尋常的編程語言,惡意軟件開發者將對安全分析人員的逆向工程工作造成很大的阻礙。
此外他們正在避免使用基於簽名的檢測工具,提升目標系統的交叉兼容性,且代碼庫本身也可能套上一層來隱藏。
最後,黑莓威脅研究副總裁 Eric Milam 評論道:惡意軟件製作者以快速適應和修改利用新技能而被業界所熟知,但行業客戶也必須對這樣的重要趨勢提高警惕,因為將來的安全形勢只會變得更加嚴峻。