使用Rust重写的Buer恶意软件

安全
近日研究人员发现Buer恶意软件的一个变种伪装成DHL邮寄通知的形式进行分发传播,该恶意软件使用Rust语言进行了重写。

近日研究人员发现Buer恶意软件的一个变种伪装成DHL邮寄通知的形式进行分发传播,该恶意软件使用Rust语言进行了重写。

[[400437]]

Profpoint的研究人员表示,高效且易用的Rust语言帮助恶意软件顺利逃避检测。一共发现了两种恶意软件,一种是使用C语言编写的,另一种是使用Rust语言编写的,这可以帮助恶意软件在被发现前感染更多的受害者。

Buer是一种Downloader,作为其他恶意软件的“引路人”。根据Proofpoint的研究,最近两年的Downloader变得越来越强大,拥有的功能和配置方式也越来越先进。

Proofpoint在2019年首次发现Buer,最近又发现了以DHL邮寄通知为主题的新变种。

受害者点击了恶意附件(Word/Excel)后就会触发由Rust编写的Buer变种。研究人员将其命名为RustyBuer,根据Proofpoint的研究表明,该恶意软件已经在50多个行业中感染了超过200个组织。

作为Downloader,研究人员发现后续可能会投放Cobalt Strike。而有些时候,后续阶段的载荷并不存在。可能是因为恶意软件的开发者正在测试新的变种,以将其租赁给其他的攻击者。

多语言恶意软件

使用Rust重写的恶意软件与传统上用C语言来编写恶意软件的习惯并不相同,尚不清楚为什么攻击者花费如此多的精力来重写。研究人员猜测可能是因为Rust的效率更高,而且支持的功能也越来越多了。

Proofpoint的威胁研究与检测高级主管Sherrod DeGrippo认为,恶意软件的功能修改很常见,但是选择完全用另一种语言重写的非常少见。通常来说,恶意软件都会通过版本迭代增加新的功能或者提升检测逃避的能力,像这种完全切换到新语言是一个新方式。

重写还会带来另一个好处就是对逆向工程带来了巨大的挑战,没有Rust开发经验的工程师难以进行分析。Proofpoint的研究人员认为将会看到不断更新的Rust版本的Buer。与过去一样,攻击者将会利用能利用的一切资源发展恶意软件。

Rust的应用

Rust在业界越来越流行,微软在2月份加入了Rust基金会,在微软内部也越来越多地使用Rust语言。2019年,Python软件基金会和Django软件基金会的前董事Alex Gaynor表示:C与C++这样的内存不安全语言引入了非常多的安全漏洞,整个行业需要迁移到诸如Rust和Swift等内存安全的语言上来。

Buer的运营者一定是在以多种方式发展攻击技术,提高检测逃避能力,提高攻击成功率。Proofpoint表示,使用Rust重写的恶意软件可以让恶意软件逃避那些基于C编写的恶意软件检测特征。

为了与C版本的恶意软件兼容,Rust重写的恶意软件与C&C服务器的通信方式仍然未变。

不要点击

攻击者在文档中使用了一些安全公司的图标,以显示该文档是安全的,引诱用户打开。

恶意文档通过LOLBAS的Windows Shell DLL执行,逃避端点安全的检测。

参考来源:

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-05-06 09:59:27

Rust恶意软件网络安全

2021-02-04 12:06:03

HTTPDRust服务器

2021-07-15 17:48:11

Tor项目Arti开发者

2021-03-14 22:34:05

工具RMS应用层

2022-07-26 11:46:14

黑客论坛Rust编码恶意软件

2015-04-27 14:12:41

2012-11-12 10:03:27

2023-04-28 14:10:33

2023-10-07 10:11:59

ViteRust

2012-05-14 16:18:08

2015-04-22 15:24:31

2023-06-28 14:18:06

2021-02-28 09:36:14

勒索恶意软件网络威胁

2022-04-13 12:09:07

黑客木马网络攻击

2015-09-17 09:17:53

2022-08-29 11:12:11

恶意软件Jackware

2018-11-30 05:29:58

恶意软件攻击规避

2014-03-13 09:28:34

2021-02-03 09:23:58

恶意软件Ezuri加密

2009-08-18 21:57:59

点赞
收藏

51CTO技术栈公众号