Hacker wenden sich “exotischen” Programmiersprachen für Malware-Entwicklung zu

  • Bedrohungsakteure weichen zunehmend auf “exotische” Programmiersprachen wie Go, Rust, Nim und Dlang aus, die herkömmliche Sicherheitsvorkehrungen besser umgehen, sich der Analyse entziehen und Reverse-Engineering-Bemühungen erschweren können.

    “Malware-Autoren sind dafür bekannt, dass sie ihre Fähigkeiten und ihr Verhalten anpassen und verändern, um sich neuere Technologien zunutze zu machen”, sagt Eric Milam, Vice President of Threat Research bei BlackBerry. “Diese Taktik wird durch den Entwicklungszyklus und den inhärenten Mangel an Abdeckung durch Schutzprodukte mehrfach begünstigt.”

    Auf der einen Seite sind Sprachen wie Rust sicherer, da sie Garantien wie speichersichere Programmierung bieten, aber sie können auch ein zweischneidiges Schwert sein, wenn Malware-Ingenieure dieselben Funktionen, die für mehr Schutz sorgen sollen, zu ihrem Vorteil missbrauchen und damit Malware weniger anfällig für Ausnutzung machen und Versuche vereiteln, einen Kill-Switch zu aktivieren und sie machtlos zu machen.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Die Forscher stellen fest, dass Binärdateien, die in diesen Sprachen geschrieben wurden, komplexer, komplizierter und langwieriger erscheinen können, wenn sie disassembliert werden. Sie sagen, dass der Pivot zusätzliche Ebenen der Verschleierung hinzufügt, einfach dadurch, dass sie relativ neu sind, was zu einem Szenario führt, in dem ältere Malware, die mit traditionellen Sprachen wie C++ und C# entwickelt wurde, aktiv mit Droppern und Loadern umgerüstet wird, die in ungewöhnlichen Alternativen geschrieben wurden, um die Erkennung durch Endpunkt-Sicherheitssysteme zu umgehen.

    Anfang dieses Jahres entdeckte das Sicherheitsunternehmen Proofpoint neue Malware, die in Nim (NimzaLoader) und Rust (RustyBuer) geschrieben wurde und die laut Proofpoint in aktiven Kampagnen verwendet wird, um Cobalt Strike und Ransomware-Stämme über Social-Engineering-Kampagnen zu verbreiten und einzusetzen. In ähnlicher Weise beobachtete CrowdStrike letzten Monat ein Ransomware-Muster, das Implementierungen von früheren HelloKitty- und FiveHands-Varianten übernahm und einen Golang-Packer zur Verschlüsselung seiner C++-basierten Hauptnutzlast verwendete.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Einige prominente Beispiele für Malware, die in den letzten zehn Jahren in diesen Sprachen geschrieben wurde, sind

    • Dlang – DShell, Vovalex, OutCrypt, RemcosRAT
    • Go – ElectroRAT, EKANS (alias Snake), Zebrocy, WellMess, ChaChi
    • Nim – NimzaLoader, Zebrocy, DeroHE, Nim-basierte Cobalt Strike-Lader
    • Rust – Convuster Adware, RustyBuer, TeleBots Downloader und Backdoor, NanoCore Dropper, PyOxidizer

    “Programme, die mit denselben bösartigen Techniken, aber in einer neuen Sprache geschrieben wurden, werden normalerweise nicht mit der gleichen Rate erkannt wie solche, die in einer ausgereifteren Sprache geschrieben wurden”, so die Schlussfolgerung der BlackBerry-Forscher.

    “Die Loader, Dropper und Wrapper […] verändern in vielen Fällen einfach die erste Stufe des Infektionsprozesses, anstatt die Kernkomponenten der Kampagne zu verändern. Dies ist das jüngste Beispiel dafür, dass Bedrohungsakteure die Linie knapp außerhalb der Reichweite von Sicherheitssoftware verschieben, und zwar auf eine Art und Weise, die bei späteren Stadien der ursprünglichen Kampagne möglicherweise nicht mehr ausgelöst wird.”

    Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com