惡意軟件制造者詭計多端 使用“小眾”編程語言逃避常見安全檢測

黑莓研究人員報告稱，不常見的編程語言——包括 Go、Rust、Nim和DLang——正在成為惡意軟件作者的最愛，它們試圖繞過安全防御或解決開發(fā)過程中的弱點。

研究團隊注意到這四種語言的惡意用途增加以及使用它們的惡意軟件家族數(shù)量增加后，選擇了這四種語言。使用新編程語言的攻擊者并不新鮮。然而，研究人員指出，這些語言正變得越來越發(fā)達，并預計隨著趨勢的繼續(xù)，它們的使用會增加。

有人可能采用一種新的編程語言有幾個原因：它可以解決現(xiàn)有語言的弱點，或者為開發(fā)人員提供更簡單的語法、更有效的內存管理或性能提升。研究人員指出，新語言也可能更適合其環(huán)境——例如，物聯(lián)網設備大多使用低級語言。

當攻擊者利用這些特點時，對防御者構成了挑戰(zhàn)。惡意軟件分析工具并不總是支持鮮為人知的語言，與C或C++ 等傳統(tǒng)語言相比，用Go、Rust、Nim和 DLang 編寫的二進制文件在反匯編時可能會顯得更加復雜。分析師可能不熟悉較新的語言。

報告指出，較舊的惡意軟件通常會在第一階段以加密形式存儲，并使用XOR、RC4、AES 或其他加密和編碼方法。

研究人員表示，一旦解碼，二進制文件就會被放入磁盤或注入正在運行的進程并加載到內存中，并指出這對攻擊者很有吸引力，因為它可以為他們省去重新編碼惡意軟件的麻煩。相反，他們可以將舊惡意軟件“包裝”在這些交付方法之一中。

基于簽名的安全工具可能已經使用眾所周知的惡意軟件捕獲了投放器或加載器的第二階段，無論是投放到磁盤還是加載到內存中;然而，用不同的語言重寫惡意軟件使其有可能繞過防御，因為現(xiàn)有的簽名可能不起作用。

Go由Google于2007年開發(fā)，屬于C家族，但具有更簡化的語法。它可以交叉編譯到所有主要操作系統(tǒng)，以及 Android、JavaScript 和 WebAssembly。

Nim可以編譯成多種語言，例如 C、C++ 和 JavaScript。DLang 帶來了C的語法改進;它可以交叉編譯。

Rust開銷低，性能高效，并幫助開發(fā)人員解決報告指出的其他流行語言中的“痛點”。

攻擊者換檔，防御者跟進

正如研究人員指出的那樣，惡意軟件作者并不是唯一采用不常見語言的人——近年來，安全社區(qū)也采用這些語言來實施紅隊工具的攻擊性使用，其中許多研究人員指出，它們是開源的或公開可用的。

該報告指出了去年的FireEye漏洞，其中民族國家攻擊者從安全公司竊取了紅隊工具。FireEye表示，被盜軟件位于第三方存儲庫，其中包括被盜工具和檢測簽名。

研究人員指出，用這些鮮為人知的語言編寫的惡意軟件通常不會像用更常見和成熟的語言編寫的惡意軟件那樣被檢測到。此時，攻擊者正在改變感染過程的第一階段，而不是其活動的核心，但安全團隊必須意識到這些鮮為人知的語言風險以及如何影響他們的防御。

關鍵案例：APT28和APT29的“Go”流暢度不斷提高

當談到這些更晦澀的語言時，惡意軟件開發(fā)人員歷來主要用Go編寫：一種與C++非常相似的通用語言，因為它是靜態(tài)類型和編譯的。

C 語言惡意軟件仍然是最普遍的。但APT28和APT29已經開始比其他組織更頻繁地在惡意軟件集中使用更奇特的語言。APT28又名 Fancy Bear 或 Strontium 等，而APT29又名 Nobelium、Cozy Bear 或 the Dukes 等。

APT28使用的Go重寫選擇：

2018年：一個與 APT28 相關聯(lián)的基于Go的木馬被確定為Zebrocy 變體，具有原始 Delphi下載器的重寫版本。

2019年：研究人員在針對東歐和中亞大使館和外交部的同一個 Zebrocy 活動中發(fā)現(xiàn)了一個Nim下載器和 Go 后門。

2020年及之前幾年： APT28 越來越喜歡 Go，使用其他重寫的 Zebrocy 核心組件：后門負載和下載器。最近，APT28使用 COVID-19 大流行作為誘餌，于 12 月發(fā)布了Go 下載程序變體。

就 APT29/Cozy Bear 而言，以其在2020 年初的SolarWinds 供應鏈攻擊中的作用而聞名，它在 2018 年使用WellMess(一種用 Go 和 .NET 編寫的遠程訪問木馬(RAT))針對 Windows和Linux機器。

研究人員指出，WellMess 最流行的變體是Go版本，它有32位和64位變體作為PE和 ELF文件，“使 APT29能夠將其部署到不止一種類型的架構和操作系統(tǒng)。”

APT29通常通過首先掃描組織的外部IP地址中的漏洞，然后對易受攻擊的系統(tǒng)進行公開攻擊來滲透受害者的網絡。

時間線

除了Go及其對APT28和APT29日益增長的吸引力之外，過去十年中其他稀有語言也越來越多地被其他威脅行為者用于越來越多的惡意軟件系列。下面是這四種語言如何越來越多地出現(xiàn)的時間表，特別是 Rust、Nim 和D語言。

DLang惡意軟件似乎是不斷演變的威脅環(huán)境中最不受歡迎的語言，但它在過去一年中出現(xiàn)了一些溫和的增長。報告預測，這可能標志著惡意軟件開發(fā)人員更普遍地采用DLang的趨勢。

如何進行反擊

網絡安全研究組織建議，為了捕獲這些多語言惡意軟件家族，軟件工程師和威脅研究人員如果采用動態(tài)或行為簽名、通過沙箱輸出標記行為的簽名或端點檢測和響應 (EDR)，將更有利，在這些情況下，這些技術可能更加可靠。

如果靜態(tài)簽名失敗，采用與實現(xiàn)無關的檢測規(guī)則來標記動態(tài)行為會有所幫助，因為惡意軟件通常以相同的方式運行，尤其是當惡意軟件被重新編碼時。“在其他情況下，例如通常使用 Windows API 調用的有限子集注入進程的shellcode加載器，可以使用該有限子集識別它們。同樣，在二進制文件中使用庫通?？梢浴昂灻薄！?/p>

軟件檢測及分析工具要和惡意軟件同步還需要一段時間，但企業(yè)及組織的安全意識必須提高起來，要積極主動去防御新出現(xiàn)的技術和惡意軟件手段。加強軟件安全防御能力，從底層源代碼安全檢測做起，不給惡意軟件可乘之機。

參讀鏈接：

https://www.woocoom.com/b021.html?id=491d570980a248e0bdfda9482542983a

https://threatpost.com/malware-makers-using-exotic-programming-languages/168117/