如何使用Rust重寫(xiě)的Buer惡意軟件

這篇文章主要講解了“如何使用Rust重寫(xiě)的Buer惡意軟件”，文中的講解內容簡(jiǎn)單清晰，易于學(xué)習與理解，下面請大家跟著(zhù)小編的思路慢慢深入，一起來(lái)研究和學(xué)習“如何使用Rust重寫(xiě)的Buer惡意軟件”吧！

近日研究人員發(fā)現Buer惡意軟件的一個(gè)變種偽裝成DHL郵寄通知的形式進(jìn)行分發(fā)傳播，該惡意軟件使用Rust語(yǔ)言進(jìn)行了重寫(xiě)。

Profpoint的研究人員表示，高效且易用的Rust語(yǔ)言幫助惡意軟件順利逃避檢測。一共發(fā)現了兩種惡意軟件，一種是使用C語(yǔ)言編寫(xiě)的，另一種是使用Rust語(yǔ)言編寫(xiě)的，這可以幫助惡意軟件在被發(fā)現前感染更多的受害者。

Buer是一種Downloader，作為其他惡意軟件的“引路人”。根據Proofpoint的研究，最近兩年的Downloader變得越來(lái)越強大，擁有的功能和配置方式也越來(lái)越先進(jìn)。

Proofpoint在2019年首次發(fā)現Buer，最近又發(fā)現了以DHL郵寄通知為主題的新變種。

受害者點(diǎn)擊了惡意附件（Word/Excel）后就會(huì )觸發(fā)由Rust編寫(xiě)的Buer變種。研究人員將其命名為RustyBuer，根據Proofpoint的研究表明，該惡意軟件已經(jīng)在50多個(gè)行業(yè)中感染了超過(guò)200個(gè)組織。

作為Downloader，研究人員發(fā)現后續可能會(huì )投放Cobalt Strike。而有些時(shí)候，后續階段的載荷并不存在?？赡苁且驗閻阂廛浖拈_(kāi)發(fā)者正在測試新的變種，以將其租賃給其他的攻擊者。

多語(yǔ)言惡意軟件

使用Rust重寫(xiě)的惡意軟件與傳統上用C語(yǔ)言來(lái)編寫(xiě)惡意軟件的習慣并不相同，尚不清楚為什么攻擊者花費如此多的精力來(lái)重寫(xiě)。研究人員猜測可能是因為Rust的效率更高，而且支持的功能也越來(lái)越多了。

Proofpoint的威脅研究與檢測高級主管Sherrod DeGrippo認為，惡意軟件的功能修改很常見(jiàn)，但是選擇完全用另一種語(yǔ)言重寫(xiě)的非常少見(jiàn)。通常來(lái)說(shuō)，惡意軟件都會(huì )通過(guò)版本迭代增加新的功能或者提升檢測逃避的能力，像這種完全切換到新語(yǔ)言是一個(gè)新方式。

重寫(xiě)還會(huì )帶來(lái)另一個(gè)好處就是對逆向工程帶來(lái)了巨大的挑戰，沒(méi)有Rust開(kāi)發(fā)經(jīng)驗的工程師難以進(jìn)行分析。Proofpoint的研究人員認為將會(huì )看到不斷更新的Rust版本的Buer。與過(guò)去一樣，攻擊者將會(huì )利用能利用的一切資源發(fā)展惡意軟件。

Rust的應用

Rust在業(yè)界越來(lái)越流行，微軟在2月份加入了Rust基金會(huì )，在微軟內部也越來(lái)越多地使用Rust語(yǔ)言。2019年，Python軟件基金會(huì )和Django軟件基金會(huì )的前董事Alex Gaynor表示：C與C++這樣的內存不安全語(yǔ)言引入了非常多的安全漏洞，整個(gè)行業(yè)需要遷移到諸如Rust和Swift等內存安全的語(yǔ)言上來(lái)。

Buer的運營(yíng)者一定是在以多種方式發(fā)展攻擊技術(shù)，提高檢測逃避能力，提高攻擊成功率。Proofpoint表示，使用Rust重寫(xiě)的惡意軟件可以讓惡意軟件逃避那些基于C編寫(xiě)的惡意軟件檢測特征。

為了與C版本的惡意軟件兼容，Rust重寫(xiě)的惡意軟件與C&C的通信方式仍然未變。

不要點(diǎn)擊

攻擊者在文檔中使用了一些安全公司的圖標，以顯示該文檔是安全的，引誘用戶(hù)打開(kāi)。

惡意文檔通過(guò)LOLBAS的Windows Shell DLL執行，逃避端點(diǎn)安全的檢測。

參考來(lái)源

Proofpoint

ThreatPOST