根據(jù)黑莓研究與情報(bào)團(tuán)隊(duì)周一發(fā)布的一份新報(bào)告，近期 Go（Golang）、D（DLang）、Nim 和 Rust 編程語言的使用率迎來了較大的增幅。背后的原因，則是惡意軟件開發(fā)者正試圖借助冷門的編程語言來躲避安全社區(qū)的分析檢測(cè)、或解決開發(fā)過程中遇到的某些痛點(diǎn)。

（來自：Blackberry）

特點(diǎn)是，惡意軟件開發(fā)者正在試圖利用冷門編程語言來便攜加載器和釋放器。通過這套組合拳，主流安全分析手段或難以察覺初步和進(jìn)階的惡意軟件部署。

黑莓團(tuán)隊(duì)表示，為避免在目的端點(diǎn)上被揪出，一階釋放器與加載器正變得越來越普遍。

一旦惡意軟件繞過了能夠檢測(cè)更典型惡意代碼形式的現(xiàn)有安全機(jī)制，就會(huì)進(jìn)一步解碼、加載和部署包括特洛伊木馬在內(nèi)的惡意軟件。

報(bào)告中點(diǎn)名的惡意軟件，包括了 Remcos 和 NanoCore 遠(yuǎn)程訪問木馬（RAT），以及常見的 Cobalt Strike 信標(biāo)。

然而一些擁有更多資源的惡意軟件開發(fā)者，正在將他們的惡意軟件通過冷門語言來重新包裝，比如 Buer 或 RustyBuer 。

基于當(dāng)前的趨勢(shì)，安全研究人員表示，網(wǎng)絡(luò)犯罪社區(qū)對(duì) Go 語言的興趣尤為濃厚。

黑莓稱，有深厚背景的高級(jí)持續(xù)性威脅（APT）組織、以及商品化的惡意軟件開發(fā)者，都相當(dāng)有意于通過冷門語言來升級(jí)他們的武器庫。

今年 6 月，CrowdStrike 亦曝光了一款勒索軟件新變種，可知其借鑒了 HelloKitty / DeathRansom 和 FiveHands 的功能，且通過 Go 語言對(duì)其主要負(fù)載進(jìn)行加密封包。

之所以作出這樣的假設(shè)，是因?yàn)榛?Go 語言的新樣本正在“半定期”地出現(xiàn)。其不僅涵蓋了所有類型的惡意軟件，還針對(duì)多個(gè)活動(dòng)中的所有主要操作系統(tǒng)。

此外盡管 DLang 不像 Go 那樣“流行”，其在 2021 開年至今的采用率也在緩步上升。

研究人員指出，通過使用新穎或不尋常的編程語言，惡意軟件開發(fā)者將對(duì)安全分析人員的逆向工程工作造成很大的阻礙。

此外他們正在避免使用基于簽名的檢測(cè)工具，提升目標(biāo)系統(tǒng)的交叉兼容性，且代碼庫本身也可能套上一層來隱藏。

最后，黑莓威脅研究副總裁 Eric Milam 評(píng)論道：惡意軟件制作者以快速適應(yīng)和修改利用新技能而被業(yè)界所熟知，但行業(yè)客戶也必須對(duì)這樣的重要趨勢(shì)提高警惕，因?yàn)閷淼陌踩蝿?shì)只會(huì)變得更加嚴(yán)峻。

（舉報(bào)）