恶意软件更愿意采用 Nim、DLang、Rust 等“冷门”语言

来源: OSCHINA
编辑: 局长
2021-07-29

安全研究人员发现,恶意软件作者开始越来越多地使用相对来说比较冷门的编程语言,如 Go、Rust、Nim 和 DLang,以创建新工具并阻碍研究人员进行分析。

根据黑莓研究与情报团队周一发布的报告,上述这四种语言在恶意软件家族的使用率出现了较大增幅。该团队选择这四门语言进行研究,部分原因是它们符合其检测方法,此外这些语言有强大的社区支持,有更好的发展前景。报告指出,这些相对冷门的编程语言不再像曾经认为的那样很少被使用,恶意软件作者已经开始使用它们来重写比较知名的恶意软件,或为新的恶意软件创建工具。

这背后的原因则是恶意软件作者希望借助冷门的编程语言来规避安全社区的分析检测,以及解决开发过程中的部分痛点。

具体来说,安全研究人员追踪到了更多使用冷门编程语言编写的加载器和释放器。报告中提到的恶意软件 Remcos、NanoCore Remote Access Trojans (RATs) 以及 Cobalt Strike 正是采用了这种方式,因此主流安全分析手段难以发现初步和进阶的恶意软件部署。研究人员称这些手段通常用来帮助恶意软件规避端点的检测。

这份报告还介绍了这些语言在恶意软件家族中的使用趋势。在过去的这几年,Go 是被使用最多的语言,许多恶意软件基于它编写。但在近期,Dlang 和 Nim 的采用率也在逐步上升。对此,研究人员认为,通过使用不太常见的编程语言,恶意软件开发者创建的工具会更难被安全分析人员进行逆向工程,从而阻碍她们进行研究。

研究人员还提到,恶意软件作者正在避免使用基于签名的检测工具,进而提升目标系统的交叉兼容性。

黑莓研究团队警告,恶意软件样本分析工具要追赶上这些“新”语言还需要一段时间,但安全社区“必须积极主动地防御新兴技术的恶意使用”。黑莓威胁研究副总裁 Eric Milam 也表示,行业和客户必须了解并密切关注这些趋势,因为恶意软件只会不断的增加。

展开阅读全文
3 收藏
分享
加载中
精彩评论
因为这些语言生成的文件不容易被分析,而传统的C,C++有很多工具可以分析,但随着时间的推移,慢慢也会可以被分析的,原因就在于这些语言基础设施还不完善,早期go都不能调试,现在也可以了
2021-07-29 20:01
3
举报
是研究人员用的工具太老了吧,更不上时代了。“坏人”是讲效率,不讲学术门派的。居然说这些次热语言是比较冷门的。
2021-07-29 14:38
3
举报
rust 也不冷了吧~
2021-07-29 12:30
2
举报
go冷门?
2021-07-29 10:08
2
举报
最新评论 (8)
大概冷门语言反编译跟踪更难吧?
别说了,为了反盗版,我都想过自己定制编译器了!
2021-08-02 09:52
0
回复
举报
因为这些语言生成的文件不容易被分析,而传统的C,C++有很多工具可以分析,但随着时间的推移,慢慢也会可以被分析的,原因就在于这些语言基础设施还不完善,早期go都不能调试,现在也可以了
2021-07-29 20:01
3
回复
举报
是研究人员用的工具太老了吧,更不上时代了。“坏人”是讲效率,不讲学术门派的。居然说这些次热语言是比较冷门的。
2021-07-29 14:38
3
回复
举报
多了一个学习冷门语言的理由,就是更难被逆向
2021-07-29 13:53
0
回复
举报
人少的地方,除了母语,其它都是冷门
2021-07-29 13:09
0
回复
举报
rust 也不冷了吧~
2021-07-29 12:30
2
回复
举报
go冷门?
2021-07-29 10:08
2
回复
举报
nim, yyds
2021-07-29 10:02
0
回复
举报
更多评论
8 评论
3 收藏
分享
返回顶部
顶部