Skadevare på nye språk

Skadevareutviklere velger eksotiske programmeringsspråk for å unngå deteksjon

Bruken av mer uvanlige språk vil kunne gi en fordel til trusselaktøren i kampen mot sikkerhetsinfrastrukturen.

Konseptbilde av hacking fra gutterommet.
Konseptbilde av hacking fra gutterommet. (Illustrasjon: Colourbox)

Bruken av mer uvanlige språk vil kunne gi en fordel til trusselaktøren i kampen mot sikkerhetsinfrastrukturen.

Ifølge en rapport fra BlackBerry sitt forsknings- og kunnskapsteam har omfanget av uvanlige programmeringsspråk i skadevare økt i det siste. Formålet skal være å unngå å bli oppdaget av sikkerhetsløsninger og -analytikere. 

Språkene som har sett en oppsving er Go (Golang), D (DLang), Nim, og Rust. Bruken av uvanlige språk kan også medføre at det blir vanskeligere for sikkerhetsmiljøer og analytikere å både oppdage, og «reverse-engineere» skadevaren. 

Skriver om i nye språk

Slik det går fram i Zdnet.com sin sak om utviklingen er det i hovedsak droppere og lastere som skrives om i de alternative språkene. Ved å være skrevet i disse språkene kan de unngå å bli oppdaget av deteksjonsprogrammer, og når de har passert sikkerhetsløsningene i et system brukes de til å dekryptere, laste og distribuere skadevaren. 

Ifølge rapporten er skadevaren som lastes blant annet fjernaksess-trojanene Remcos og Nanocore. Cobaltstrike sine Beacons er også ofte lastet. 

Det er også noen som skriver om hele skadevaren i nye språk, dersom de har nok ressurser til dette. Ifølge Zdnet-artikkelen er et eksempel på dette skadevaren Buer, som har blitt oversatt til Rystybuer, som navnet tilsier, i programmeringsspråket Rust.

Les også

Go er go-to språket 

Go er det språket som dukker opp oftest, ifølge forskerne bak rapporten. Go blir til stadighet funnet i skadevare av alle typer som sikter seg inn på alle de store operativsystemene. 

Interessen blant cyberkriminelle er å finne i en rekke forskjellige grupper, fra statssponsede gjenger til individuelle skadevareutviklere. Et nytt løsepengevirus som låner aspekter fra andre løsepengevirus som Hellokitty/Deathransom og Fivehands, bruker en Go-basert pakke for å kryptere skadevaren den sender. 

Selv om Go har sett størst vekst blant språkene de undersøkte, har DLang også sett vekst i 2021. 

–Kritisk å følge med

Fordelen for skadevareutviklerne med disse språkene skal ifølge sikkerhetsforskerne være at de lettere skjuler seg fra signaturbaserte deteksjonsprogrammer, bare på bakgrunn av valg av språk. Den samme effekten ville i et vanligere språk krevd mer arbeid av skadevareutviklerne. 

Bruken av nyere språk kan i mange tilfeller også gjøre at skadevaren i utgangspunktet kan brukes på flere operativsystemer.

Eric Milam, direktør for trusselforskning hos Blackberry kommenterte på cyberkriminelle sin evne til å være fleksible og ta i bruke nyere teknologier. Ifølge han gir denne utviklingen fordeler til skadevareutviklerne, da sikkerhetsløsninger ofte kan henge etter og ikke oppdage dette. 

– Det er kritisk at [sikkerhets]industrien og kunder forstår og følger med slike trender, for det kommer bare til å bli mer av det, sier han.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen