Malware-makers stappen over op 'exotische' programmeertalen

Er bestaat al jaren malware die geschreven is in talen als Go, Rust, Nim en Dlang, maar ze kwamen volgens Blackberry nog weinig voor. De afgelopen tijd is daar echter verandering in gekomen, aldus het bedrijf in zijn rapport. Waar er in 2012 slechts één prominent voorbeeld van malware geschreven in Go genoemd wordt - de Encriyoko Trojan - zijn dat er in 2020 maar liefst zes. En ook van de drie andere genoemde talen zijn steeds meer prominente voorbeelden zichtbaar.

"Deze ongebruikelijke programmeertalen worden niet langer zo weinig gebruikt als we ooit dachten. Aanvallers zijn ze gaan adopteren om bekende malware-families te herschrijven of om tools te schrijven voor nieuwe malware sets", aldus de onderzoekers. Dat geldt ook voor door overheden gesponsorde APT-groepen: de Russische groep APT28, ook bekend als Fancy Bear, gebruikte in 2018 een Delphi-downloader in zijn Zebrocy-malware die herschreven was met Go. Vorig jaar bleken bovendien ook andere kerncomponenten van Zebrocy in Go herschreven te zijn. 

Waarom nieuwe talen gebruiken?

Er zijn diverse redenen dat malware-ontwikkelaars overstappen op ongebruikelijke talen. Eén van de redenen is dat ze op die manier beveiligingsonderzoekers kunnen tegenwerken. De tooling die gebruikt wordt om malware te analyseren ondersteunt dit soort 'exotische' talen namelijk niet altijd, waardoor het lastig is om malware te analyseren. 

Daarnaast zorgt de taal zelf ook voor een extra uitdaging. De talen waar malware-makers naar overstappen zijn namelijk relatief nieuw en worden nog altijd automatisch opgepikt. Daardoor kunnen ze nog wel eens om traditionele beveiligingsmaatregelen heenkomen. Blackberry merkt dan ook op dat ontwikkelaars veel experimenteren met loaders en droppers in deze relatief nieuwe talen, die slechts een eerste stap in de verdere aanvalsketen zijn. Als die eerste malware om de beveiligingsmaatregelen heen weet te komen, kunnen ze andere malware zoals Trojans decoderen en loslaten op het systeem.

Maar ook het feit dat dit soort talen vaak veel veiliger zijn kan voor malware-makers een reden zijn om ze te gebruiken. Zo kunnen er features inzetten die geheugenfouten voorkomen, waardoor kwetsbaarheden uit de malware geweerd worden. Dit kan interessant zijn voor malware-makers omdat ook zij niet ten prooi willen vallen aan een kwetsbaarheid. Dit bleek bijvoorbeeld wel het geval te zijn bij datadief Emotet: beveiligingsonderzoeker James Quinn ontdekte dat Emotet tijdens zijn installatieroutine kwetsbaar was voor een buffer overflow. Die kwetsbaarheid kon Quinn inzetten om te voorkomen dat Emotet überhaupt geïnstalleerd kon worden op een systeem.