マルウェアは、検出を回避するために異常なプログラミング言語に頼っています

Blackberry Research and Intelligenceの研究者は、マルウェアの興味深い傾向に焦点を当てた新しいレポートを公開しました。研究論文は、レーダーの下で気付かれずに滑ることができるマルウェアを生成するための継続的な取り組みにおいて、ますます多くのマルウェアコーダーが異常でエキゾチックなプログラミング言語に目を向け始めていることを示しています。

レポートは4つの別々のプログラミング言語に焦点を当てており、主流の外にあるものの、まだ比較的よく開発されており、強力なコミュニティの支援とリソースを利用できるため、特にそれらを束の中から選びました。

マルウェアを開発している攻撃者は、人気のあるマルウェアツールを書き直し、非常によく似た機能でゼロからコーディングし始めましたが、ベースとして新しい言語を使用しています。これにより、新しいマルウェアが既存の株と機能的に類似している場合でも、使用されているコードベースと言語が異なるという理由だけで、研究者によって識別およびカタログ化される新しいマルウェアファミリーの数が増えています。

レポートはまた、珍しいプログラミング言語を使用してローダーとファイルドロッパーの開発に注意を集中する脅威アクターの間の傾向を強調しています。

研究論文で検討された言語の中で、Goは大きなハイライトとして際立っています。これは、構造的にも機能的にもC ++に似た言語であり、Goに切り替える前にGoのコンパイラも元々C ++で記述されていました。

Goの使用に多くの開発努力を集中させてきた2つの特定の重要な脅威アクターがいます。それらはAPT28とAPT29であり、どちらもロシアの領土外で活動していると考えられている脅威グループです。

マルウェア作成者の間で人気を集めている他の注目すべき言語には、Rust、Nim、Dlang、または単にDプログラミング言語が含まれます。

一部の検出メカニズムとシステムを混乱させることに加えて、エキゾチックな言語で作成およびコンパイルされたマルウェアは、より一般的な言語に焦点を当てたツールが普及しているという理由だけで、新しいマルウェアを逆コンパイルおよびリバースエンジニアリングする研究者の努力を大幅に遅らせる可能性があります。

Blackberry Researchは、マルウェア研究者が効果を発揮したいのであれば、これらの進化するトレンドに遅れずについていく必要があることを強調しました。