恶意软件开发者转向不太流行的编程语言,以避免安全分析和检测迎来较大增长。这背后的原因是恶意软件开发者试图使用不受欢迎的编程语言来避免被安全社区分析和检测,或者是为了解决开发过程中遇到的某些痛点。(来自:黑莓)特点是恶意软件作者试图利用晦涩的编程语言来移植加载程序和投放程序。通过这种组合,主流安全分析可能难以检测到初级和高级恶意软件部署。根据BlackBerry团队的说法,一阶投放器和加载器正变得越来越普遍,以避免在目标端点被捕获。一旦恶意软件绕过能够检测更典型形式的恶意代码的现有安全机制,就会解码、加载和部署更多恶意软件,包括特洛伊木马。报告中提到的恶意软件包括Remcos和NanoCore远程访问木马(RAT),以及常见的CobaltStrike信标。然而,一些拥有更多资源的恶意软件开发者正在用Buer或RustyBuer等不太流行的语言重新打包他们的恶意软件。根据当前的趋势,安全研究人员表示Go对网络犯罪社区特别感兴趣。BlackBerry表示,成熟的高级持续威胁(APT)组织以及商品化的恶意软件开发人员非常有兴趣用不受欢迎的语言升级他们的武器库。今年6月,CrowdStrike还曝光了勒索软件的新变种。可以看出它借鉴了HelloKitty/DeathRansom和FiveHands的功能,使用Go语言对其主要载荷进行了加密和封存。做出此假设是因为基于Go的语言的新样本“半定期”出现。它不仅涵盖所有类型的恶意软件,还在多个活动中针对所有主要操作系统。此外,尽管DLang不像Go那样“流行”,但到2021年为止,它的采用率一直在缓慢增加。研究人员指出,通过使用新颖或不寻常的编程语言,恶意软件开发人员可以极大地阻碍安全分析师的逆向工程工作。此外,他们正在避免使用基于签名的检测工具,提高目标系统的交叉兼容性,代码库本身也可能被一层隐藏。最后,BlackBerry威胁研究副总裁EricMilam评论道:恶意软件创建者在业内以快速适应和修改以利用新技能而著称,但行业客户也必须警惕这一重要趋势,因为安全未来的风景只会改变。变得更加严重。
