BlackBerry研究工作人员汇报称,不普遍编程语言,例如Go、Rust、Nim和DLang,慢慢变成恶意软件创作者的心头好,被用以绕开安全性防御措施或处理恶意软件开发设计流程中的薄弱点。
注意到应用以上四种编程语言的恶意软件大家族总数愈来愈多以后,BlackBerry研究精英团队挑选了这四种编程语言,深层次研究其被用以故意目地的状况。攻击者应用新的编程语言并不少见;但研究工作人员注意到,这种语言愈来愈完善,预估会伴随着这一发展趋势的持续而需求量提升。
选用新编程语言的因素各种各样:可以处理目前编程语言中的缺点、英语的语法更简易、更高效率的内存管理,或是程序编写高效率更高等。研究工作人员强调,新语言很有可能也更适宜其自然环境,例如物联网设备就应用低等语言。
当攻击者逐渐寻找这种优点,防御者就遭遇挑戰了。恶意软件分析工具并不一直适用不太广为人知的语言,并且,与C或C 等經典编程语言对比,用Go、Rust、Nim和DLang语言撰写的二进制文件经搞混后会变得更为繁杂。投资分析师很有可能不了解升级一些的语言,掌握其多元性必须一定的学习时间。
研究工作人员强调,时下发生了一种新的发展趋势:攻击者选用以相应较不常用的语言撰写的推广器或加载器,翻修先前用C 和C#等传统式编程语言撰写的“老”恶意软件。老恶意软件通常在第一阶段以数据加密方式储存,选用XOR、RC4、AES或别的数据加密和编码方式。
一旦破译,二进制文件就被释放出来到硬盘上,或是引入到过程中加载运行内存。研究工作人员称,这类方式很受攻击者热烈欢迎,由于可以免除重程序编写恶意软件的不便,可以用这种发送方式之一“包裝”老恶意软件。
应用知名恶意软件的安全泄压阀或加载器,也许可以在释放出来到硬盘或载入进运行内存时被根据机器码的安全工具捕获;但用另一种语言再次撰写恶意软件就可以授予恶意软件绕开自我防御机制的发展潜力,由于目前机器码不容易合理。
BlackBerry注意到,尽管一些知名的恶意软件是用Go、Rush、Nim和DLang撰写的,但总数并不是很多,并且大部分全是用Go撰写的。这种相对性不常用的语言每一种都能给其房地产商产生各种各样优点。
Go语言是Google在2007年开发设计的,归属于C语言大家族,但英语的语法更加简易。该语言课交叉编译到全部流行电脑操作系统,及其Android、JavaScript和WebAssembly。Nim可以编译程序进多种多样语言,例如C、C 和JavaScript。DLang改善了C语言的英语的语法,可以交叉编译,并且学起來很容易。Rust花销低、特性高,可以协助开发者绕开别的时兴编程语言中的“困扰”。
魔高一尺道高一丈
正如研究工作人员强调的,选用不普遍编程语言的不单单是恶意软件创作者,近些年安全社区也选用这种语言撰写攻击能力蓝队专用工具完成,在其中许多专用工具是开源系统或公布可以用的。
汇报提及上年安全性企业FireEye遭受的数据泄漏事情,这起事件中专制制度的攻击者偷去了FireEye公司的蓝队专用工具。FireEye公布了一份申明,并在GitHub放上用以鉴别失窃专用工具的检验机器码。其GitHub储存库揭露FireEye蓝队一直在组成应用公布可以用专用工具和内部结构搭建的专用工具,这种专用工具以各种不同语言撰写而成,包含Go、DLang和Rust。
例如,Go语言是Blackberry名册上最年轻漂亮的语言,但广泛蓝队选用,许多攻击能力安全工具都用Go重新写过或专业为Go打造出。FireEye的蓝队专用工具揭露其建立了一个多服务平台Go语言远程连接木马病毒(RAT)。Bishop Fox的敌人仿真模拟专用工具Silver也用了Go语言。为完成原生态混合开发,时兴指令与操纵架构Merlin彻底用Go撰写。
研究工作人员发觉,假如能获得几大安全性企业关注点赞,编程语言或技术性就有可能变成流行。她们还强调,分析工具和技术性通常并不由自主安全性企业开发设计,除非是应用新语言撰写的恶意软件做到一定水平的饱和状态。
对比更加普及化和成熟稳重的编程语言,用这种不太广为人知的语言撰写的恶意软件,其诊断率没那麼高。现阶段,攻击者已经改善第一阶段的感柒全过程并非其进攻主题活动的关键一部分,但安全性精英团队必须探讨不普遍编程语言的隐患和对防御力的危害。