黑客转向使用“异国情调”编程语言进行恶意软件的开发

威胁行为者越来越多地转向“异国情调”编程语言，例如 Go、Rust、Nim 和 Dlang，它们可以更好地绕过传统的安全保护、逃避分析并阻碍逆向工程工作。

黑莓威胁研究副总裁埃里克·米拉姆 (Eric Milam)表示： “恶意软件作者以其适应和修改其技能和行为以利用新技术的能力而闻名。“这种策略从开发周期和保护性产品固有的缺乏覆盖中受益匪浅。”

一方面，像 Rust 这样的语言更安全，因为它们提供诸如内存安全编程之类的保证，但当恶意软件工程师滥用旨在为他们的优势提供更多保护的相同功能时，它们也可能是一把双刃剑，从而使恶意软件不太容易受到利用并阻止尝试激活终止开关并使他们无能为力。

研究人员指出，用这些语言编写的二进制文件在反汇编时可能会显得更复杂、更复杂、更乏味，研究人员表示，pivot 增加了额外的混淆层，仅仅因为它们相对较新，导致出现使用传统语言开发的旧恶意软件的情况像 C++ 和 C# 一样，正在积极地使用以不常见的替代方案编写的 dropper 和 loader 进行重组，以逃避端点安全系统的检测。

今年早些时候，企业安全公司 Proofpoint 发现了用 Nim ( NimzaLoader ) 和 Rust ( RustyBuer )编写的新恶意软件，据称这些恶意软件被用于通过社会工程活动分发和部署 Cobalt Strike 和勒索软件的活跃活动。同样，CrowdStrike 上个月观察到一个勒索软件样本，该样本借鉴了以前的 HelloKitty 和 FiveHands 变体的实现，同时使用 Golang 打包程序加密其主要的基于 C++ 的有效负载。

过去十年中用这些语言编写的恶意软件的一些突出例子如下：

• Dlang – DShell、Vovalex、OutCrypt、RemcosRAT
• Go – ElectroRAT、EKANS（又名 Snake）、Zebrocy、WellMess、ChaChi
• Nim – NimzaLoader、Zebrocy、DeroHE、基于 Nim 的 Cobalt Strike 装载机
• Rust – Convuster 广告软件、RustyBuer、TeleBots 下载器和后门、NanoCore Dropper、PyOxidizer

黑莓研究人员总结道：“使用相同的恶意技术编写的程序，但使用一种新语言编写的程序，其检测率通常与使用更成熟语言编写的程序不同。”

“加载器、投放器和包装器 […] 在许多情况下只是改变感染过程的第一阶段，而不是改变活动的核心组成部分。这是威胁行为者将生产线移出范围的最新一次安全软件的方式可能不会在原始活动的后期阶段触发。”