(來自:Blackberry)
特點是,惡意軟件開發者正在試圖利用冷門編程語言來便攜加載器和釋放器。通過這套組合拳,主流安全分析手段或難以察覺初步和進階的惡意軟件部署。
黑莓團隊表示,為避免在目的端點上被揪出,一階釋放器與加載器正變得越來越普遍。
一旦惡意軟件繞過瞭能夠檢測更典型惡意代碼形式的現有安全機制,就會進一步解碼、加載和部署包括特洛伊木馬在內的惡意軟件。
報告中點名的惡意軟件,包括瞭 Remcos 和 NanoCore 遠程訪問木馬(RAT),以及常見的 Cobalt Strike 信標。
然而一些擁有更多資源的惡意軟件開發者,正在將他們的惡意軟件通過冷門語言來重新包裝,比如 Buer 或 RustyBuer 。
基於當前的趨勢,安全研究人員表示,網絡犯罪社區對 Go 語言的興趣尤為濃厚。
黑莓稱,有深厚背景的高級持續性威脅(APT)組織、以及商品化的惡意軟件開發者,都相當有意於通過冷門語言來升級他們的武器庫。
今年 6 月,CrowdStrike 亦曝光瞭一款勒索軟件新變種,可知其借鑒瞭 HelloKitty / DeathRansom 和 FiveHands 的功能,且通過 Go 語言對其主要負載進行加密封包。
之所以作出這樣的假設,是因為基於 Go 語言的新樣本正在“半定期”地出現。其不僅涵蓋瞭所有類型的惡意軟件,還針對多個活動中的所有主要操作系統。
此外盡管 DLang 不像 Go 那樣“流行”,其在 2021 開年至今的采用率也在緩步上升。
研究人員指出,通過使用新穎或不尋常的編程語言,惡意軟件開發者將對安全分析人員的逆向工程工作造成很大的阻礙。
此外他們正在避免使用基於簽名的檢測工具,提升目標系統的交叉兼容性,且代碼庫本身也可能套上一層來隱藏。
最後,黑莓威脅研究副總裁 Eric Milam 評論道:惡意軟件制作者以快速適應和修改利用新技能而被業界所熟知,但行業客戶也必須對這樣的重要趨勢提高警惕,因為將來的安全形勢隻會變得更加嚴峻。
留言列表
