借助Rust重写的Buer恶意软件
发布时间:2022-06-30 16:51:42 所属栏目:安全 来源:互联网
导读:近日研究人员发现Buer恶意软件的一个变种伪装成DHL邮寄通知的形式进行分发传播,该恶意软件使用Rust语言进行了重写。 Proofpoint在2019年首次发现Buer,最近又发现了以DHL邮寄通知为主题的新变种。 受害者点击了恶意附件(Word/Excel)后就会触发由Rust编写的B
|
近日研究人员发现Buer恶意软件的一个变种伪装成DHL邮寄通知的形式进行分发传播,该恶意软件使用Rust语言进行了重写。 Proofpoint在2019年首次发现Buer,最近又发现了以DHL邮寄通知为主题的新变种。 受害者点击了恶意附件(Word/Excel)后就会触发由Rust编写的Buer变种。研究人员将其命名为RustyBuer,根据Proofpoint的研究表明,该恶意软件已经在50多个行业中感染了超过200个组织。 作为Downloader,研究人员发现后续可能会投放Cobalt Strike。而有些时候,后续阶段的载荷并不存在。可能是因为恶意软件的开发者正在测试新的变种,以将其租赁给其他的攻击者。 多语言恶意软件 使用Rust重写的恶意软件与传统上用C语言来编写恶意软件的习惯并不相同,尚不清楚为什么攻击者花费如此多的精力来重写。研究人员猜测可能是因为Rust的效率更高,而且支持的功能也越来越多了。 Rust的应用 Rust在业界越来越流行,微软在2月份加入了Rust基金会,在微软内部也越来越多地使用Rust语言。2019年,Python软件基金会和Django软件基金会的前董事Alex Gaynor表示:C与C++这样的内存不安全语言引入了非常多的安全漏洞,整个行业需要迁移到诸如Rust和Swift等内存安全的语言上来。 Buer的运营者一定是在以多种方式发展攻击技术,提高检测逃避能力,提高攻击成功率。Proofpoint表示,使用Rust重写的恶意软件可以让恶意软件逃避那些基于C编写的恶意软件检测特征。 为了与C版本的恶意软件兼容,Rust重写的恶意软件与C&C服务器的通信方式仍然未变。 不要点击 攻击者在文档中使用了一些安全公司的图标,以显示该文档是安全的,引诱用户打开。 恶意文档通过LOLBAS的Windows Shell DLL执行,逃避端点安全的检测。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号