溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

如何使用Rust重寫(xiě)的Buer惡意軟件

發(fā)布時(shí)間:2021-06-30 17:16:55 來(lái)源:億速云 閱讀:298 作者:chen 欄目:網(wǎng)絡(luò)安全

這篇文章主要講解了“如何使用Rust重寫(xiě)的Buer惡意軟件”,文中的講解內(nèi)容簡(jiǎn)單清晰,易于學(xué)習(xí)與理解,下面請(qǐng)大家跟著小編的思路慢慢深入,一起來(lái)研究和學(xué)習(xí)“如何使用Rust重寫(xiě)的Buer惡意軟件”吧!

近日研究人員發(fā)現(xiàn)Buer惡意軟件的一個(gè)變種偽裝成DHL郵寄通知的形式進(jìn)行分發(fā)傳播,該惡意軟件使用Rust語(yǔ)言進(jìn)行了重寫(xiě)。

Profpoint的研究人員表示,高效且易用的Rust語(yǔ)言幫助惡意軟件順利逃避檢測(cè)。一共發(fā)現(xiàn)了兩種惡意軟件,一種是使用C語(yǔ)言編寫(xiě)的,另一種是使用Rust語(yǔ)言編寫(xiě)的,這可以幫助惡意軟件在被發(fā)現(xiàn)前感染更多的受害者。

Buer是一種Downloader,作為其他惡意軟件的“引路人”。根據(jù)Proofpoint的研究,最近兩年的Downloader變得越來(lái)越強(qiáng)大,擁有的功能和配置方式也越來(lái)越先進(jìn)。

如何使用Rust重寫(xiě)的Buer惡意軟件

Proofpoint在2019年首次發(fā)現(xiàn)Buer,最近又發(fā)現(xiàn)了以DHL郵寄通知為主題的新變種。

受害者點(diǎn)擊了惡意附件(Word/Excel)后就會(huì)觸發(fā)由Rust編寫(xiě)的Buer變種。研究人員將其命名為RustyBuer,根據(jù)Proofpoint的研究表明,該惡意軟件已經(jīng)在50多個(gè)行業(yè)中感染了超過(guò)200個(gè)組織。

作為Downloader,研究人員發(fā)現(xiàn)后續(xù)可能會(huì)投放Cobalt Strike。而有些時(shí)候,后續(xù)階段的載荷并不存在。可能是因?yàn)閻阂廛浖拈_(kāi)發(fā)者正在測(cè)試新的變種,以將其租賃給其他的攻擊者。

多語(yǔ)言惡意軟件

使用Rust重寫(xiě)的惡意軟件與傳統(tǒng)上用C語(yǔ)言來(lái)編寫(xiě)惡意軟件的習(xí)慣并不相同,尚不清楚為什么攻擊者花費(fèi)如此多的精力來(lái)重寫(xiě)。研究人員猜測(cè)可能是因?yàn)镽ust的效率更高,而且支持的功能也越來(lái)越多了。

Proofpoint的威脅研究與檢測(cè)高級(jí)主管Sherrod DeGrippo認(rèn)為,惡意軟件的功能修改很常見(jiàn),但是選擇完全用另一種語(yǔ)言重寫(xiě)的非常少見(jiàn)。通常來(lái)說(shuō),惡意軟件都會(huì)通過(guò)版本迭代增加新的功能或者提升檢測(cè)逃避的能力,像這種完全切換到新語(yǔ)言是一個(gè)新方式。

如何使用Rust重寫(xiě)的Buer惡意軟件

重寫(xiě)還會(huì)帶來(lái)另一個(gè)好處就是對(duì)逆向工程帶來(lái)了巨大的挑戰(zhàn),沒(méi)有Rust開(kāi)發(fā)經(jīng)驗(yàn)的工程師難以進(jìn)行分析。Proofpoint的研究人員認(rèn)為將會(huì)看到不斷更新的Rust版本的Buer。與過(guò)去一樣,攻擊者將會(huì)利用能利用的一切資源發(fā)展惡意軟件。

Rust的應(yīng)用

Rust在業(yè)界越來(lái)越流行,微軟在2月份加入了Rust基金會(huì),在微軟內(nèi)部也越來(lái)越多地使用Rust語(yǔ)言。2019年,Python軟件基金會(huì)和Django軟件基金會(huì)的前董事Alex Gaynor表示:C與C++這樣的內(nèi)存不安全語(yǔ)言引入了非常多的安全漏洞,整個(gè)行業(yè)需要遷移到諸如Rust和Swift等內(nèi)存安全的語(yǔ)言上來(lái)。

Buer的運(yùn)營(yíng)者一定是在以多種方式發(fā)展攻擊技術(shù),提高檢測(cè)逃避能力,提高攻擊成功率。Proofpoint表示,使用Rust重寫(xiě)的惡意軟件可以讓惡意軟件逃避那些基于C編寫(xiě)的惡意軟件檢測(cè)特征。

如何使用Rust重寫(xiě)的Buer惡意軟件

為了與C版本的惡意軟件兼容,Rust重寫(xiě)的惡意軟件與C&C服務(wù)器的通信方式仍然未變。

不要點(diǎn)擊

攻擊者在文檔中使用了一些安全公司的圖標(biāo),以顯示該文檔是安全的,引誘用戶(hù)打開(kāi)。

如何使用Rust重寫(xiě)的Buer惡意軟件

惡意文檔通過(guò)LOLBAS的Windows Shell DLL執(zhí)行,逃避端點(diǎn)安全的檢測(cè)。

參考來(lái)源

Proofpoint

ThreatPOST

感謝各位的閱讀,以上就是“如何使用Rust重寫(xiě)的Buer惡意軟件”的內(nèi)容了,經(jīng)過(guò)本文的學(xué)習(xí)后,相信大家對(duì)如何使用Rust重寫(xiě)的Buer惡意軟件這一問(wèn)題有了更深刻的體會(huì),具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云,小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章,歡迎關(guān)注!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI