Malware skifter til usædvanlige programmeringssprog for at undgå detektion
Forskere med Blackberry Research and Intelligence har offentliggjort en ny rapport, der fremhæver en interessant tendens inden for malware. Forskningspapiret viser, at et voksende antal malware-kodere begynder at henvende sig til usædvanlige og eksotiske programmeringssprog i deres løbende indsats for at producere malware, der er i stand til at glide ubemærket under radaren.
Rapporten var fokuseret på fire separate programmeringssprog, specifikt at vælge dem blandt flokerne på grund af det faktum, at mens de er placeret uden for mainstream, er de stadig relativt veludviklede og har en stærk samfundsopbakning og ressourcer til rådighed for dem.
Trusselsaktørerne, der udvikler malware, er begyndt at omskrive populære malware-værktøjer og kode dem fra bunden med meget lignende funktionalitet, men bruger et nyt sprog som base. Dette har ført til, at et stigende antal nye malware-familier er blevet identificeret og katalogiseret af forskere, selvom den nye malware funktionelt ligner eksisterende stammer, simpelthen på grund af den forskellige kodebase og det anvendte sprog.
Rapporten fremhæver også en tendens blandt trusselsaktører til at fokusere deres opmærksomhed på at udvikle læssere og fildroppere ved hjælp af usædvanlige programmeringssprog.
Blandt de sprog, der er undersøgt i forskningsopgaven, skiller Go sig ud som et stort højdepunkt. Det er et sprog, der ligner C ++ strukturelt og funktionelt, til det punkt, hvor Go's kompilator også oprindeligt blev skrevet i C ++, inden han skiftede til Go.
Der er to specifikke, betydningsfulde trusselsaktører, der har fokuseret meget af deres udviklingsindsats på at bruge Go. Disse er APT28 og APT29 - begge trusselsgrupper, der menes at operere uden for russiske territorier.
Andre bemærkelsesværdige sprog, der har fået popularitet blandt malwareforfattere, inkluderer Rust, Nim og Dlang eller simpelthen D-programmeringssproget.
Ud over at forvirre nogle detektionsmekanismer og -systemer, kan malware skrevet og kompileret på et eksotisk sprog også forsinke forskere betydeligt i deres bestræbelser på at dekompilere og reverse engineer den nye malware, simpelthen på grund af forekomsten af værktøjer, der er fokuseret på mere almindelige sprog.
Blackberry Research fremhævede behovet for malware-forskere til at holde trit med de udviklende tendenser, hvis de vil være effektive.