รายงานเผย แฮกเกอร์เริ่มหันไปใช้ภาษาเขียนโปรแกรมแบบ ‘แปลกใหม่’ สำหรับมัลแวร์รุ่นใหม่

Image credit: freepik.com

ภาษาเขียนโปรแกรมอย่าง Go, Rust, Nim และ DLang กำลังเปิดช่องให้เหล่านักสร้างมัลแวร์หาทางหลบเลี่ยงการตรวจจับแบบ signature-based และสร้างความสับสนงุนงงยิ่งขึ้น

เหล่าแฮกเกอร์กำลังเริ่มเปลี่ยนไปใช้ภาษาโปรแกรมที่ค่อนข้างมีความคลุมเครือมากขึ้นเรื่อย ๆ ในการเข้ารหัสมัลแวร์เพื่อหลีกเลี่ยงการตรวจจับ ซึ่งสร้างความท้าทายมากขึ้นสำหรับวงการความมั่นคงปลอดภัยในโลกไซเบอร์

ข้อมูลจากนักวิจัยของ Blackberry เผยว่า ผู้เชี่ยวชาญด้านความปลอดภัยเริ่มเจอมัลแวร์จำนวนมากที่เขียนด้วยภาษาที่มีความ 'แปลกใหม่' เช่นภาษา Go, Rust, Nim และ DLang โดยคนเขียนมัลแวร์มีการนำภาษาเหล่านี้มาใช้ในการเขียนตระกูลมัลแวร์ที่มีอยู่แล้ว และสร้างเครื่องมือสำหรับมัลแวร์ตระกูลใหม่ๆ

นอกจากนี้ยังพบว่า โดยทั่วไปแล้ว ภาษาเขียนโปรแกรมเหล่านี้สามารถขัดขวางการทำงานของการตรวจจับแบบ signature-based ได้ ในขณะที่อุปกรณ์วิเคราะห์มัลแวร์ก็อาจไม่สามารถรองรับการอ่านภาษาเขียนโปรแกรมที่แปลกใหม่ไปจากเดิมได้เสมอไป
ภาษาเขียนโปรแกรมเหล่านี้ยังทำหน้าที่เป็นตัวสร้างความสับสนคลุมเครือ เนื่องจากแต่ละภาษาค่อนข้างใหม่ และมีเครื่องมือวิเคราะห์ที่รองรับภาษาเหล่านี้ไม่มาก อย่างไรก็ตาม ภาษาเขียนโปรแกรมทั้ง 4 ภาษาที่ถูกระบุในรายงานนี้ แต่ละภาษาถูกพัฒนาค่อนข้างมากแล้ว และมีสังคมกลุ่มพูดคุยแลกเปลี่ยนกันที่เข้มแข็งอยู่

“โปรแกรมที่เขียนโดยใช้เทคนิคอันตรายแบบเดียวกัน แต่ใช้ภาษาใหม่ในการเขียน มักจะไม่ถูกตรวจพบในอัตราเดียวกันกับโปรแกรมที่เขียนด้วยภาษาที่มีความโตกว่า” รายงานสรุป “นี่ถือเป็นเทรนด์ล่าสุดในหมู่ผู้บุกรุกที่ทำการเคลื่อนไหวนอกขอบเขตของซอฟต์แวร์รักษาความปลอดภัย ในลักษณะที่อาจทำให้ระบบการรักษาความปลอดภัยไม่ถูกกระตุ้นให้ทำงาน”

“ปัจจุบัน ไบนารีอันตรายที่เขียนด้วยภาษาเช่น Dlang, Rust, Go หรือ Nim ที่ถูกใช้โดยผู้ไม่หวังดียังมีไม่มาก แต่วงการความมั่นคงปลอดภัยก็ยังควรต้องหาทางป้องกันเทคโนโลยีและเทคนิคใหม่ ๆ ที่เป็นอันตรายอยู่ดี”

แต่ละภาษาต่างก็มีข้อดีและข้อเสียต่างกันไปในแต่ละสถานการณ์ นักวิจัยยังอธิบายโดยยกตัวอย่างเช่นภาษา Nim ซึ่งสามารถถูกคอมไพล์เป็นภาษาต่าง ๆ เช่นภาษา C, C++ หรือแม้แต่ JavaScript ได้ หรืออย่างเช่นภาษา DLang ที่ปรับปรุง syntax ได้เหนือกว่าภาษา C มากมาย รวมทั้งยังมีรูปแบบการทำงานร่วมกันได้อย่างสมบูรณ์และภาษายังมีความคล้ายกับภาษา C

จากรายงาน ภาษา Rust เป็นที่รู้จักในแง่ของภาษาที่ใช้ค่า overhead น้อยมาก และมีประสิทธิภาพทำงานได้ตามต้องการ ในขณะที่ภาษา Go มักถูกเรียกเป็นภาษา C แห่งศตวรรษที่ 21

ถึงแม้ว่ามัลแวร์ภาษา C จะยังคงเป็นที่แพร่หลายมากที่สุด แต่ก็ยังพบว่ากลุ่มผู้เขียนมัลแวร์กลุ่มหลักๆ อย่าง Fancy Bear หรือ Cozy Bear มีการใช้ภาษาแปลกๆ ใหม่ๆ ในชุดมัลแวร์ของพวกเขาบ่อยกว่ากลุ่มอื่นๆ

บ่อยครั้งที่ตระกูลมัลแวร์ภาษา C ไม่จำเป็นต้องเขียนใหม่ตั้งแต่ต้น พวกเขาเพียงแค่เขียน loaders, droppers และ wrappers ด้วยภาษาใหม่ๆ แทน ซึ่งหมายความว่าพวกเขาสามารถฝัง payload ได้อย่างมีประสิทธิภาพใน shell ที่ตรวจจับยากขึ้น ซึ่งเขียนขึ้นใหม่เพื่อหลีกเลี่ยงการตรวจจับแบบ signature-based

ในรายงาน มีการยกหลายกรณีที่แฮกเกอร์ใช้วิธีเขียนองค์ประกอบเพิ่มเติมด้วยภาษาคลุมเครือเพื่ออำพรางการโจมตี ตัวอย่างเช่น ในปี 2018 Cozy Bear โจมตี Windows และ Linux ด้วย WellMess ซึ่งเป็นโทรจันเจาะระบบทางไกล (RAT) ที่ถูกเขียนด้วยภาษา Go และ .NET

ในปี 2018 กลุ่ม Fancy Bear ถูกพบว่าใช้โทรจันแบบภาษา Go ซึ่งถูกระบุว่าเป็นมัลแวร์ Zebrocy เวอร์ชั่นเขียนขึ้นใหม่ ในปีถัดมา กลุ่มนี้ใช้ Nim downloader ร่วมกับ Go backdoor ในแคมเปญเดียวกันที่โจมตีสถานทูตและกระทรวงการต่างประเทศในยุโรปตะวันออกและเอเชียกลาง

ที่มา: https://bit.ly/2XwXJUR