這篇文章主要講解了“如何使用Rust重寫的Buer惡意軟件”，文中的講解內(nèi)容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“如何使用Rust重寫的Buer惡意軟件”吧！

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設,牟定企業(yè)網(wǎng)站建設,牟定品牌網(wǎng)站建設,網(wǎng)站定制,牟定網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,牟定網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

近日研究人員發(fā)現(xiàn)Buer惡意軟件的一個變種偽裝成DHL郵寄通知的形式進行分發(fā)傳播，該惡意軟件使用Rust語言進行了重寫。

Profpoint的研究人員表示，高效且易用的Rust語言幫助惡意軟件順利逃避檢測。一共發(fā)現(xiàn)了兩種惡意軟件，一種是使用C語言編寫的，另一種是使用Rust語言編寫的，這可以幫助惡意軟件在被發(fā)現(xiàn)前感染更多的受害者。

Buer是一種Downloader，作為其他惡意軟件的“引路人”。根據(jù)Proofpoint的研究，最近兩年的Downloader變得越來越強大，擁有的功能和配置方式也越來越先進。

Proofpoint在2019年首次發(fā)現(xiàn)Buer，最近又發(fā)現(xiàn)了以DHL郵寄通知為主題的新變種。

受害者點擊了惡意附件（Word/Excel）后就會觸發(fā)由Rust編寫的Buer變種。研究人員將其命名為RustyBuer，根據(jù)Proofpoint的研究表明，該惡意軟件已經(jīng)在50多個行業(yè)中感染了超過200個組織。

作為Downloader，研究人員發(fā)現(xiàn)后續(xù)可能會投放Cobalt Strike。而有些時候，后續(xù)階段的載荷并不存在。可能是因為惡意軟件的開發(fā)者正在測試新的變種，以將其租賃給其他的攻擊者。

多語言惡意軟件

使用Rust重寫的惡意軟件與傳統(tǒng)上用C語言來編寫惡意軟件的習慣并不相同，尚不清楚為什么攻擊者花費如此多的精力來重寫。研究人員猜測可能是因為Rust的效率更高，而且支持的功能也越來越多了。

Proofpoint的威脅研究與檢測高級主管Sherrod DeGrippo認為，惡意軟件的功能修改很常見，但是選擇完全用另一種語言重寫的非常少見。通常來說，惡意軟件都會通過版本迭代增加新的功能或者提升檢測逃避的能力，像這種完全切換到新語言是一個新方式。

重寫還會帶來另一個好處就是對逆向工程帶來了巨大的挑戰(zhàn)，沒有Rust開發(fā)經(jīng)驗的工程師難以進行分析。Proofpoint的研究人員認為將會看到不斷更新的Rust版本的Buer。與過去一樣，攻擊者將會利用能利用的一切資源發(fā)展惡意軟件。

Rust的應用

Rust在業(yè)界越來越流行，微軟在2月份加入了Rust基金會，在微軟內(nèi)部也越來越多地使用Rust語言。2019年，Python軟件基金會和Django軟件基金會的前董事Alex Gaynor表示：C與C++這樣的內(nèi)存不安全語言引入了非常多的安全漏洞，整個行業(yè)需要遷移到諸如Rust和Swift等內(nèi)存安全的語言上來。

Buer的運營者一定是在以多種方式發(fā)展攻擊技術，提高檢測逃避能力，提高攻擊成功率。Proofpoint表示，使用Rust重寫的惡意軟件可以讓惡意軟件逃避那些基于C編寫的惡意軟件檢測特征。

為了與C版本的惡意軟件兼容，Rust重寫的惡意軟件與C&C服務器的通信方式仍然未變。

不要點擊

攻擊者在文檔中使用了一些安全公司的圖標，以顯示該文檔是安全的，引誘用戶打開。

惡意文檔通過LOLBAS的Windows Shell DLL執(zhí)行，逃避端點安全的檢測。

參考來源

Proofpoint

ThreatPOST

感謝各位的閱讀，以上就是“如何使用Rust重寫的Buer惡意軟件”的內(nèi)容了，經(jīng)過本文的學習后，相信大家對如何使用Rust重寫的Buer惡意軟件這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關知識點的文章，歡迎關注！