恶意软件开发者转向冷门编程语言 以躲避安全分析与检测

（来自：Blackberry）

特点是，恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳，主流安全分析手段或难以察觉初步和进阶的恶意软件部署。

黑莓团队表示，为避免在目的端点上被揪出，一阶释放器与加载器正变得越来越普遍。

一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制，就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。

报告中点名的恶意软件，包括了 Remcos 和 NanoCore 远程访问木马（RAT），以及常见的 Cobalt Strike 信标。

然而一些拥有更多资源的恶意软件开发者，正在将他们的恶意软件通过冷门语言来重新包装，比如 Buer 或 RustyBuer 。

基于当前的趋势，安全研究人员表示，网络犯罪社区对 Go 语言的兴趣尤为浓厚。

黑莓称，有深厚背景的高级持续性威胁（APT）组织、以及商品化的恶意软件开发者，都相当有意于通过冷门语言来升级他们的武器库。

今年 6 月，CrowdStrike 亦曝光了一款勒索软件新变种，可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能，且通过 Go 语言对其主要负载进行加密封包。

之所以作出这样的假设，是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件，还针对多个活动中的所有主要操作系统。

此外尽管 DLang 不像 Go 那样“流行”，其在 2021 开年至今的采用率也在缓步上升。

研究人员指出，通过使用新颖或不寻常的编程语言，恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。

此外他们正在避免使用基于签名的检测工具，提升目标系统的交叉兼容性，且代码库本身也可能套上一层来隐藏。

最后，黑莓威胁研究副总裁 Eric Milam 评论道：恶意软件制作者以快速适应和修改利用新技能而被业界所熟知，但行业客户也必须对这样的重要趋势提高警惕，因为将来的安全形势只会变得更加严峻。