Авторы вредоносных программ все чаще используют новые и необычные языки программирования, чтобы избежать обнаружения и затруднить анализ.
Команды безопасности не должны рассчитывать, что злоумышленники будут пользоваться в основном традиционными языками типа C, C ++ и C #, как они делали в течение многих лет, предупреждает новый отчет BlackBerry. «Вредоносные двоичные файлы, написанные на таких языках, как D, Rust, Go или Nim, в настоящее время составляют небольшой процент языков, используемых злоумышленниками в современном мире, говорится в отчете. Однако крайне важно, чтобы сообщество специалистов по безопасности оставалось активным в защите от злонамеренного использования новых технологий и методов».
В отчете отмечается, что программы, написанные на необычном языке, хотя использующие те же вредоносные методы, обычно не обнаруживаются с той же скоростью, что и программы, написанные на более распространенном языке.
Такие злоумышленники, как российский APT28 (известный как Fancy Bear) и APT29 (он же Cozy Bear), использовали нетрадиционные языки программирования в своих наборах вредоносных программ, чтобы избежать обнаружения чаще, чем другие группы. Для обнаружения вредоносных программ, написанных на этих языках, требуются разные стратегии. Вероятность обнаружения многоязычных семейств вредоносных программ с динамическими или поведенческими сигнатурами, которые помечают поведение через выходные данные песочницы, программное обеспечение EDR (обнаружение и исправление конечных точек) или данные журнала, выше, чем со статическими сигнатурами, созданными для существующих семейств вредоносных программ. говорится в отчете.
Исследовательская и аналитическая группа BlackBerry отметила рост числа загрузчиков и дропперов, написанных на этих и других необычных языках, чтобы помочь злоумышленникам избежать обнаружения на конечной точке. Эти новые вредоносные программы первого уровня предназначены для декодирования, загрузки и развертывания массового вредоносного ПО, такого как трояны удаленного доступа Remcos и NanoCore, Cobalt Strike, законный инструмент безопасности, который все чаще используется злоумышленниками.
Во многих случаях загрузчики, дропперы и оболочки, видимые BlackBerry, просто изменяют первую стадию процесса заражения, а не основные компоненты кампании. «Это последняя из угроз, выходящая за пределы диапазона программного обеспечения безопасности таким образом, чтобы не сработать на более поздних этапах исходной кампании», говорят исследователи.
Судя по исследованиям BlackBerry и текущим тенденциям, похоже, что Go стал одним из основных языков для злоумышленников как на уровне APT (расширенная постоянная угроза), так и на уровне продукта для разработки вариантов вредоносного ПО. Это предположение основано на том, что новые образцы на основе Go теперь появляются регулярно во вредоносных программах всех типов и нацелены на все основные операционные системы в рамках нескольких кампаний.
Исследователи заметили значительное увеличение использования начальных стадий для Cobalt Strike, компилируемых с помощью Go, а в последнее время – в Nim. Эти начальные этапы представляют собой двоичные файлы, используемые для облегчения первого этапа, начального доступа путем загрузки маяка Cobalt Strike с TeamServer. Этот сервер отвечает за обслуживание самих маяков.
«Важно, чтобы защита работала на опережение в перехвате файлов, связанных с Cobalt Strike, написанных на этих языках, чтобы повысить уровень безопасности от такой серьезной угрозы», говорится в отчете.