查看: 1476|回复: 6
收起左侧

[安全行业] 恶意软件开发者转向冷门编程语言 以躲避安全分析与检测

[复制链接]
朦胧的风
发表于 2021-7-28 17:57:25 | 显示全部楼层 |阅读模式
本帖最后由 朦胧的风 于 2021-7-28 18:00 编辑

根据黑莓研究与情报团队周一发布的一份新报告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因,则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。

Screenshot_20210728_175627.jpg

(来自:Blackberry)

特点是,恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳,主流安全分析手段或难以察觉初步和进阶的恶意软件部署。

黑莓团队表示,为避免在目的端点上被揪出,一阶释放器与加载器正变得越来越普遍。

一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制,就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。

报告中点名的恶意软件,包括了 Remcos 和 NanoCore 远程访问木马(RAT),以及常见的 Cobalt Strike 信标。

然而一些拥有更多资源的恶意软件开发者,正在将他们的恶意软件通过冷门语言来重新包装,比如 Buer 或 RustyBuer 。

基于当前的趋势,安全研究人员表示,网络犯罪社区对 Go 语言的兴趣尤为浓厚。

黑莓称,有深厚背景的高级持续性威胁(APT)组织、以及商品化的恶意软件开发者,都相当有意于通过冷门语言来升级他们的武器库。

今年 6 月,CrowdStrike 亦曝光了一款勒索软件新变种,可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能,且通过 Go 语言对其主要负载进行加密封包。

之所以作出这样的假设,是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件,还针对多个活动中的所有主要操作系统。

此外尽管 DLang 不像 Go 那样“流行”,其在 2021 开年至今的采用率也在缓步上升。
研究人员指出,通过使用新颖或不寻常的编程语言,恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。

此外他们正在避免使用基于签名的检测工具,提升目标系统的交叉兼容性,且代码库本身也可能套上一层来隐藏。

最后,黑莓威胁研究副总裁 Eric Milam 评论道:恶意软件制作者以快速适应和修改利用新技能而被业界所熟知,但行业客户也必须对这样的重要趋势提高警惕,因为将来的安全形势只会变得更加严峻。

https://www.cnbeta.com/articles/tech/1159001.htm

评分

参与人数 1分享 +3 人气 +2 收起 理由
屁颠屁颠 + 3 + 2 感谢提供分享

查看全部评分

海龙王_ccmd
发表于 2021-7-28 20:10:58 | 显示全部楼层
真心佩服他们的技术,也真心想学习他们的技术,
但对于他们的作法……。
★心空☆
发表于 2021-7-28 20:44:45 | 显示全部楼层
升级核武器了吗
YorkWaugh
发表于 2021-7-29 00:32:08 来自手机 | 显示全部楼层
建议选择易语言,完成被通杀成就
dg1vg4
发表于 2021-7-29 01:34:15 | 显示全部楼层
有很多时候,一些好的语言就是这样被人玩坏的。
偷电狂魔
头像被屏蔽
发表于 2021-7-29 01:38:41 | 显示全部楼层
YorkWaugh 发表于 2021-7-29 00:32
建议选择易语言,完成被通杀成就

其实易语言不算是冷门语言,许多业余编程爱好者都喜欢用这个语言
gold2007
发表于 2021-7-29 15:10:34 来自手机 | 显示全部楼层
黑莓居然还在吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 06:32 , Processed in 0.133964 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表