黑客转向“异国”编程语言进行恶意软件开发

威胁参与者越来越多地转向“异国”编程语言，如Go、Rust、Nim和Dlang，它们可以更好地规避传统的安全保护、逃避分析，并阻碍逆向工程工作。

黑莓威胁研究副总裁埃里克·米拉姆（Eric Milam）说：“恶意软件作者以能够适应和修改自己的技能和行为，以利用新技术而闻名。”。“这种策略从开发周期和保护产品固有的覆盖范围不足中获得了多重好处。”

一方面，Rust等语言更安全，因为它们提供了内存安全编程等保障，但当恶意软件工程师滥用旨在为其优势提供更多保护的相同功能时，它们也可能是一把双刃剑，从而使恶意软件不易受到攻击，并阻止激活杀戮开关并使其失去能力的尝试。

研究人员指出，用这些语言编写的二进制文件在反汇编时可能会显得更复杂、复杂和乏味，pivot增加了额外的混淆层，这仅仅是因为它们相对较新，导致一个场景，使用C++和C语言等传统语言开发的旧恶意软件正在用DopPress和装载程序进行主动重组，这些程序以不寻常的替代品编写，以避免端点安全系统的检测。

今年早些时候，企业安全公司Proofpoint发现了用Nim（NimzaLoader）和Rust（RustyBuer）编写的新恶意软件，该公司表示，这些软件正在积极的活动中使用，通过社会工程活动分发和部署Cobalt Strike和勒索软件。与此类似，CrowdStrike上个月观察到一个勒索软件样本，该样本借鉴了之前的HelloKitty和FiveHands变体的实现，同时使用Golang packer对其主要的基于C++的负载进行加密。

BlackBerry的最新发现表明，这些人工制品是过去十年来威胁行为体采用Dlang、Go、Nim和Rust重写现有家族或为新恶意软件集创建工具的上升趋势的一部分-

• 德朗-DShell，Vovalex，露头，RemcosRAT
• 去-ElectroRAT、EKANS（又名蛇）、Zebrocy、WellMess、ChaChi
• 尼姆-NimzaLoader、Zebrocy、DeroHE、基于Nim的钴打击装载机
• 锈-Convuster广告软件、RustyBuer、TeleBots下载和后门、纳米滴管、PyOxizer

黑莓研究人员总结道：“使用相同恶意技术但使用新语言编写的程序通常不会以与使用更成熟语言编写的程序相同的速度被检测到。”。

“装载机、滴管和包装机[……]在许多情况下，它们只是改变感染过程的第一阶段，而不是改变运动的核心组成部分。这是最新的威胁行动方在安全软件范围之外移动线路，其方式可能不会在最初行动的后期触发。"