Malware-ontwikkelaars gebruiken ‘exotische’ programmeertalen om onderzoekers te dwarsbomen

Malware-ontwikkelaars wenden zich steeds meer tot ongebruikelijke of “exotische” programmeertalen om analyse-inspanningen te belemmeren, zeggen onderzoekers.

Volgens een nieuw rapport dat maandag door BlackBerry’s Research & Intelligence-team is gepubliceerd, is er een recente “escalatie” geweest in het gebruik van Go (Golang), D (DLang), Nim en Rust, die vaker worden gebruikt om ” probeer detectie door de beveiligingsgemeenschap te ontwijken of specifieke pijnpunten in hun ontwikkelingsproces aan te pakken.”

In het bijzonder experimenteren malwareontwikkelaars met loaders en droppers die in deze talen zijn geschreven en die zijn gemaakt om geschikt te zijn voor de eerste en volgende fase van malware-implementatie in een aanvalsketen.

Het team van BlackBerry zegt dat droppers en loaders in de eerste fase steeds gebruikelijker worden om detectie op een doeleindpunt te voorkomen, en zodra de malware bestaande beveiligingscontroles heeft omzeild die meer typische vormen van kwaadaardige code kunnen detecteren, worden ze gebruikt om te decoderen, laden , en implementeer malware, inclusief Trojaanse paarden.

Commodity-malware die in het rapport wordt genoemd, omvat de Remote Access Trojans (RAT’s) Remcos en NanoCore. Daarnaast worden vaak Cobalt Strike bakens ingezet.

Sommige ontwikkelaars, die meer middelen tot hun beschikking hebben, herschrijven hun malware echter volledig in nieuwe talen, zoals Buer to RustyBuer.

Op basis van de huidige trends zeggen de cybersecurity-onderzoekers dat Go vooral interessant is voor de cybercriminele gemeenschap.

Volgens BlackBerry nemen zowel door de staat gesponsorde APT-groepen (Advanced Persistent Threat) als ontwikkelaars van commodity-malware serieuze interesse in de programmeertaal om hun arsenaal te upgraden. In juni zei CrowdStrike dat een nieuwe ransomware-variant functies leende van HelloKitty/DeathRansom en FiveHands, maar een Go-packer gebruikte om de belangrijkste payload te versleutelen.

“Deze aanname is gebaseerd op het feit dat er nu semi-regelmatig nieuwe, op Go gebaseerde voorbeelden verschijnen, inclusief alle soorten malware, en gericht zijn op alle belangrijke besturingssystemen in meerdere campagnes”, zegt het team.

Hoewel niet zo populair als Go, heeft DLang ook in 2021 een langzame stijging van de acceptatie ervaren.

Door nieuwe of meer ongebruikelijke programmeertalen te gebruiken, zeggen de onderzoekers dat ze reverse-engineering-inspanningen kunnen belemmeren en op handtekeningen gebaseerde detectietools kunnen vermijden, evenals de cross-compatibiliteit ten opzichte van doelsystemen kunnen verbeteren. De codebase zelf kan ook een verborgen laag toevoegen zonder enige verdere inspanning van de malware-ontwikkelaar, simpelweg vanwege de taal waarin het is geschreven.

“Malware-auteurs staan ​​bekend om hun vermogen om hun vaardigheden en gedrag aan te passen en aan te passen om te profiteren van nieuwere technologieën”, aldus Eric Milam, VP Threat Research bij BlackBerry. “Dit heeft meerdere voordelen van de ontwikkelingscyclus en het inherente gebrek aan dekking van beschermende oplossingen. Het is van cruciaal belang dat de industrie en klanten deze trends begrijpen en in de gaten houden, aangezien ze alleen maar zullen toenemen.”

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of hoger bij Keybase: charlie0


Posted By : keluaran sidney hari ini