Złośliwe oprogramowanie wykorzystuje nietypowe języki programowania, aby uniknąć wykrycia
Badacze z Blackberry Research and Intelligence opublikowali nowy raport podkreślający interesujący trend w złośliwym oprogramowaniu. Artykuł badawczy pokazuje, że coraz większa liczba programistów złośliwego oprogramowania zaczyna zwracać się ku nietypowym i egzotycznym językom programowania w swoich nieustających wysiłkach na rzecz tworzenia złośliwego oprogramowania, które może wymknąć się niezauważone przez radar.
Raport koncentrował się na czterech osobnych językach programowania, w szczególności wybierając je z tej grupy, ponieważ chociaż znajdują się poza głównym nurtem, nadal są stosunkowo dobrze rozwinięte i mają silne wsparcie społeczności oraz dostępne dla nich zasoby.
Cyberprzestępcy opracowujący złośliwe oprogramowanie zaczęli przepisywać popularne narzędzia do złośliwego oprogramowania, kodując je od podstaw z bardzo podobną funkcjonalnością, ale używając nowego języka jako podstawy. Doprowadziło to do zidentyfikowania i skatalogowania przez badaczy coraz większej liczby nowych rodzin złośliwego oprogramowania, nawet jeśli nowe złośliwe oprogramowanie jest funkcjonalnie podobne do istniejących szczepów, po prostu z powodu innej bazy kodu i używanego języka.
Raport zwraca również uwagę na tendencję wśród cyberprzestępców do skupiania uwagi na opracowywaniu programów ładujących i dropperów plików przy użyciu nietypowych języków programowania. .
Wśród języków badanych w pracy badawczej Go wyróżnia się jako duży punkt kulminacyjny. Jest to język, który jest strukturalnie i funkcjonalnie podobny do C++, do tego stopnia, że kompilator Go został również pierwotnie napisany w C++, przed przejściem na Go.
Istnieją dwaj konkretne, znaczące podmioty zajmujące się zagrożeniami, które skoncentrowały wiele swoich wysiłków programistycznych na korzystaniu z Go. Są to APT28 i APT29 - obie grupy zagrożeń, które przypuszczalnie działają poza terytoriami rosyjskimi.
Inne godne uwagi języki, które zyskały popularność wśród twórców złośliwego oprogramowania, to Rust, Nim i Dlang lub po prostu język programowania D.
Oprócz dezorientowania niektórych mechanizmów i systemów wykrywania złośliwe oprogramowanie napisane i skompilowane w egzotycznym języku może również znacznie spowolnić wysiłki badaczy w zakresie dekompilacji i inżynierii wstecznej nowego złośliwego oprogramowania, po prostu ze względu na rozpowszechnienie narzędzi skoncentrowanych na bardziej popularnych językach.
Blackberry Research podkreślił, że badacze szkodliwego oprogramowania muszą nadążać za tymi ewoluującymi trendami, jeśli chcą być skuteczni.