Создатели вредоносов стали чаще использовать «экзотические» языки программирования
28/07/21
Разработчики вредоносных программ все чаще прибегают к использованию необычных или «экзотических» языков программирования с целью затруднить ИБ-экспертам анализ вредоносов. Согласно отчету специалистов из BlackBerry Research & Intelligence, в последнее время наблюдается рост использования языков Go (Golang), D (DLang), Nim и Rust. Хакеры используют данные языки с целью избежать обнаружения ИБ-экспертами или решить определенные проблемы в процессе разработки ПО.
В частности, разработчики вредоносных программ экспериментируют с загрузчиками и дропперами, написанными на «экзотических» языках, которые лучше подходят для развертывания вредоносных программ на первом и последующих этапах в цепочке атак.
Загрузчики первого уровня становятся все более распространенными и помогают хакерам избежать обнаружения на скомпрометированной системе. После обхода защитных решений, способных обнаруживать более типичные формы вредоносного кода, дропперы используются для декодирования, загрузки и установки вредоносных программ, в том числе троянов для удаленного доступа Remcos и NanoCore. Кроме того, часто в ходе атак используются маяки Cobalt Strike.
Кроме того, некоторые разработчики, имея в своем распоряжении больше ресурсов, полностью переписывают свои вредоносные программы на новые языки, например, с Buer на RustyBuer.
Основываясь на текущих тенденциях, исследователи кибербезопасности отметили особый интерес киберпреступников к языку Go. Например, новый вариант неназванной программы-вымогателя, обнаруженной в июне нынешнего года экспертами из CrowdStrike, позаимствовал функции у HelloKitty (также известного как DeathRansom) и FiveHands, но использовал упаковщик Go для шифрования своей основной полезной нагрузки.