(来自:Blackberry)
特点是,恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳,主流安全分析手段或难以察觉初步和进阶的恶意软件部署。
黑莓团队表示,为避免在目的端点上被揪出,一阶释放器与加载器正变得越来越普遍。
一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制,就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。
报告中点名的恶意软件,包括了 Remcos 和 NanoCore 远程访问木马(RAT),以及常见的 Cobalt Strike 信标。
然而一些拥有更多资源的恶意软件开发者,正在将他们的恶意软件通过冷门语言来重新包装,比如 Buer 或 RustyBuer 。
基于当前的趋势,安全研究人员表示,网络犯罪社区对 Go 语言的兴趣尤为浓厚。
黑莓称,有深厚背景的高级持续性威胁(APT)组织、以及商品化的恶意软件开发者,都相当有意于通过冷门语言来升级他们的武器库。
今年 6 月,CrowdStrike 亦曝光了一款勒索软件新变种,可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能,且通过 Go 语言对其主要负载进行加密封包。
之所以作出这样的假设,是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件,还针对多个活动中的所有主要操作系统。
此外尽管 DLang 不像 Go 那样“流行”,其在 2021 开年至今的采用率也在缓步上升。
研究人员指出,通过使用新颖或不寻常的编程语言,恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。
此外他们正在避免使用基于签名的检测工具,提升目标系统的交叉兼容性,且代码库本身也可能套上一层来隐藏。
最后,黑莓威胁研究副总裁 Eric Milam 评论道:恶意软件制作者以快速适应和修改利用新技能而被业界所熟知,但行业客户也必须对这样的重要趋势提高警惕,因为将来的安全形势只会变得更加严峻。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/35547.html