安全研究人员发现,恶意软件作者开始越来越多地使用相对来说比较冷门的编程语言,如Go、Rust、Nim和DLang,以创建新工具并阻碍研究人员进行分析。
根据黑莓研究与情报团队周一发布的报告,上述这四种语言在恶意软件家族的使用率出现了较大增幅。该团队选择这四门语言进行研究,部分原因是它们符合其检测方法,此外这些语言有强大的社区支持,有更好的发展前景。报告指出,这些相对冷门的编程语言不再像曾经认为的那样很少被使用,恶意软件作者已经开始使用它们来重写比较知名的恶意软件,或为新的恶意软件创建工具。
这背后的原因则是恶意软件作者希望借助冷门的编程语言来规避安全社区的分析检测,以及解决开发过程中的部分痛点。
具体来说,安全研究人员追踪到了更多使用冷门编程语言编写的加载器和释放器。报告中提到的恶意软件Remcos、NanoCoreRemoteAccessTrojans(RATs)以及CobaltStrike正是采用了这种方式,因此主流安全分析手段难以发现初步和进阶的恶意软件部署。研究人员称这些手段通常用来帮助恶意软件规避端点的检测。
这份报告还介绍了这些语言在恶意软件家族中的使用趋势。在过去的这几年,Go是被使用最多的语言,许多恶意软件基于它编写。但在近期,Dlang和Nim的采用率也在逐步上升。对此,研究人员认为,通过使用不太常见的编程语言,恶意软件开发者创建的工具会更难被安全分析人员进行逆向工程,从而阻碍她们进行研究。
研究人员还提到,恶意软件作者正在避免使用基于签名的检测工具,进而提升目标系统的交叉兼容性。
黑莓研究团队警告,恶意软件样本分析工具要追赶上这些“新”语言还需要一段时间,但安全社区“必须积极主动地防御新兴技术的恶意使用”。黑莓威胁研究副总裁EricMilam也表示,行业和客户必须了解并密切