Fidye yazılımı çeteleri neden Rust’a yöneliyor?
Fidye yazılımı çeteleri neden Rust’a yöneliyor?
Fidye yazılımı çeteleri neden Rust’a yöneliyor?
Fidye yazılımı çeteleri neden Rust’a yöneliyor? Geliştiricilerin en sevdiği dil, fidye yazılımı suçlularının sevgilisi haline geliyor
Sahnede nispeten yeni bir programlama dili olan Rust, 2015’te piyasaya sürüldü ve yalnızca geliştiricilere sunduğu keyifli deneyim için değil, aynı zamanda kötü amaçlı kötü amaçlı yazılımlara sağladığı faydalar için de hızla favori haline geldi.
En son 2022 Stack Overflow Geliştirici Anketinde Rust, açık ara farkla, ankete katılan geliştiriciler arasında ‘en sevilen’ programlama diliydi – ilk piyasaya sürülmesinden bu yana yedi yıldır iddia edilen bir taç. O zaman Rust’ın aynı zamanda en çok sayıda geliştiricinin repertuarlarına eklemek istediği dil olması ve Python’u dar bir şekilde geride bırakması belki de sürpriz olmadı.
Bu hafta Microsoft, Hive fidye yazılımı grubunun adaşı yükünün Rust’ta neredeyse tamamen yeniden yazıldığını ve kötü amaçlı yazılım ve fidye yazılımı yazarları arasında bir başka favori olan Go’dan uzaklaştığını açıkladı .
BlackCat’ten sonra Hive, bu yıl Rust kullanarak programını yeniden yazan ikinci fidye yazılımı grubu oldu. Bu, endüstrinin gözdesi olan dili özellikle fidye yazılımı çeteleri için bu kadar çekici yapan şeyin ne olduğu sorusunu gündeme getiriyor ?
Rust’ın katil ikilisi
Önce güvenlik
Eskilerin yerini almak üzere tasarlanmış daha modern programlama dillerinin çoğu gibi , Rust da “çarpıcı derecede hızlı ve bellek açısından verimli” olduğunu iddia ediyor – C ve C++’dan çok daha fazla.
Microsoft’un analizi, pasın diğer dillere göre daha iyi bellek, veri türü ve iş parçacığı güvenliği sunduğunu da kabul etmektedir. Güvenli yazılım yazarken bellek güvenliği çok önemlidir, çünkü bellek güvensiz programlar çökmelere neden olabilir. Fidye yazılımı taleplerinin geçerli olması için, kullanıcıların sistemlerini kilitlemeye devam etmek üzere fidye yazılımı suşlarının da çalışır durumda kalması gerekir. Okta‘ya göre, bellek güvensiz programlar kötü amaçlı olmayan yazılımlardaki güvenlik açıklarının çoğundan da sorumludur.
Rust, varsayılan olarak güvenli olmayan kodu derlemeyi tamamen reddeden derleyicisi sayesinde inanılmaz derecede güvenli bir dildir, yani Rust kullanarak fidye yazılımı kodlayan geliştiriciler, programın kararlı bir şekilde çalışması garanti edilmedikçe onu çalıştıramazlar bile.
kaçınma manevraları
Rust ve Go gibi daha yeni dillerin, çalışma biçimlerini kötü amaçlı yazılım analistlerinden gizlemede daha iyi olduğu düşünülmektedir. Bu da, iş üretme yeteneğini öldürecek olan şifre çözücüleri serbest bırakmak için tersine mühendislikten geçmelerini önler.
Yine, Rust’ın derleyicisi bunun için teşekkür etmek. Rust kodunun makine tarafından okunabilen koda derlenmesinin nispeten karmaşık yolu nedeniyle, dil, analistlerin programın iç işleyişini görmelerini zorlaştırıyor. Proofpoint, bir analizde, C ile yazılmış programın özelliklerine dayalı algılamaları önlemek için önceki kötü amaçlı yazılım türlerinin Rust’ta yeniden yazıldığını gözlemlediğini söyledi.
Rust ayrıca komut satırına dayalı bir dildir. Hive fidye yazılımının daha yeni Rust sürümü, komut satırına farklı parametreler yerleştirir; bu, fidye ödeme sitesine erişmek için gereken kimlik bilgileri gibi şeylere, tek tek örneğin kendisinden analistler tarafından erişilemeyeceği anlamına gelir. Microsoft, Hive’daki parametrelerin de sürekli olarak güncellendiğini ve dize şifrelemeyle birleştiğinde analizi giderek zorlaştırdığını söyledi.
Kötü amaçlı Rust programlarına örnekler
Rust’ta yazılan büyük kötü amaçlı yazılım programlarının örnekleri, dil yayınlandıktan kısa bir süre sonra 2016 yılına kadar uzanıyor. Doctor Web araştırmacıları , internet sohbet geçişi (IRC) üzerinden gönderilen yalnızca dört komutla sınırlı işlevselliğe sahip bir Linux arka kapı truva atı keşfetti.
Bir yıl sonra ESET , NotPetya salgınının gözlemlenmesinden aylar önce Ukrayna’yı hedefleyen TeleBots kampanyasının ayrıntılarını yayınladı. Python’dan Rust’ta yeniden yazılmış olanı da dahil olmak üzere bölgedeki şirketleri tehlikeye atmak için bir çift arka kapı kullandı .
Daha önce de belirtildiği gibi, Proofpoint ayrıca 2021’de Rust yinelemesi adını RustyBuer olarak adlandırdığı Buer kötü amaçlı yazılımının yeniden yazılmasıyla ilgili araştırmasını da yayınladı. Kampanya, yeniden yazılan türün, nakliye şirketleri gibi görünen kimlik avı e-postalarının bir parçası olarak dağıtıldığını gördü ve diğer lojistik şirketi DHL’in benzerlerinden olduğu iddia edilen ilgili kampanyalar. E-postalar genellikle RustyBuer kötü amaçlı yazılımını düşürmek için makrolar kullanan Microsoft Office belgelerini indirmek için bağlantılar içeriyordu – Microsoft’un bugün de savaşmaya devam ettiği bir teknik .
Ayrıca Rust’ta yeniden yazılacak birinci ve ikinci fidye yazılımı programları olan BlackCat ve Hive’dan en güncel örnekler de var. BlackCat, FBI’ın bu yılın başlarında buna karşı bir güvenlik uyarısı uyarısı yayınlamasına neden olan yaygın bir fidye yazılımı türüdür . Varonis Threat Lab’e göre, BlackCat’in arkasındaki grup, şu anda kapatılan REvil, DarkSide ve BlackMatter fidye yazılımı kuruluşlarından aktif olarak geliştiriciler aldı ve bunların hepsinin Rusya’ya bağlı olduğuna inanılıyor.
Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.
Tüm yazılarımızı buradan okuyabilirsiniz.