最近,研究人员发现Buer恶意软件的一个变种以DHL邮件通知的形式传播。该恶意软件是用Rust语言重写的。Profpoint研究人员表示,高效且易于使用的Rust语言有助于恶意软件逃避检测。一共发现了两个恶意软件,一个用C编写,另一个用Rust编写,这可以帮助恶意软件在被发现之前感染更多的受害者。Buer是一个下载器,可作为其他恶意软件的“指南”。根据Proofpoint的研究,近两年来,Downloader的功能越来越强大,功能和配置方式也越来越先进。Proofpoint于2019年首次发现Buer,最近发现了一个以DHL邮政通知为主题的新变体。受害者点击恶意附件(Word/Excel)触发用Rust编写的Buer变体。研究人员将其命名为RustyBuer,根据Proofpoint研究,该恶意软件已经感染了50多个行业的200多个组织。作为下载器,研究人员发现CobaltStrike可能会在稍后推出。然而,有时后续阶段的负载并不存在。可能是因为恶意软件的开发人员正在测试新的变体以将其出租给其他攻击者。多语言恶意软件用Rust重写的恶意软件与传统上用C编写的恶意软件不同,目前尚不清楚为什么攻击者花费如此多的精力来重写它。研究人员推测这可能是因为Rust更加高效并且支持越来越多的功能。Proofpoint威胁研究和检测高级主管SherrodDeGrippo表示,恶意软件的功能修改很常见,但选择用另一种语言完全重写它的情况非常罕见。一般来说,恶意软件会通过版本迭代来增加新功能或提高检测和规避能力。像这样完全切换到新语言是一种新方法。重写的另一个好处是对逆向工程提出了巨大的挑战,没有Rust开发经验的工程师很难分析。Proofpoint的研究人员认为我们将看到不断更新的BuerRust版本。与过去一样,攻击者将使用他们可以支配的任何资源来开发恶意软件。Rust的应用Rust在业界越来越受欢迎。微软在2月份加入了Rust基金会,Rust语言在微软内部的使用越来越多。2019年,Python软件基金会和Django软件基金会前任主任AlexGaynor表示:C和C++等内存不安全语言引入了很多安全漏洞,整个行业都需要迁移到内存安全Rust和Swift等语言。过来。Buer的运营者必须通过各种方式开发攻击技术,以提高检测规避能力和攻击成功率。Proofpoint说,用Rust重写的恶意软件允许恶意软件逃避用C编写的恶意软件的检测签名。为了与C版本的恶意软件兼容,Rust重写的恶意软件与C&C服务器通信的方式保持不变。不要在文档中点击攻击者使用的一些安全公司的图标,以表明文档是安全的,引诱用户打开文档。恶意文档通过LOLBAS的WindowsShellDLL执行,从而逃避端点安全的检测。参考来源:ProofpointThreatPOST
