ينتقل المهاجمون من اللغات التقليدية مثل سي ولغة سي++ إلى اللغات الحديثة مثل روست، مما يمكّن من تطوير برمجيات خبيثة متعددة المنصات. ظهر لص معلومات جديد مبني على روست يُدعى لوكا، وتم إصداره علنًا للجمهور. يبرز هذا التطور الاستخدام المتزايد لروست في البرمجيات الخبيثة، مما يطرح تحديات جديدة لمدافعي الأمن السيبراني.
يتجه مطورو البرمجيات الخبيثة بشكل متزايد نحو لغات مثل غولانغ وروست ونيم، متخلين عن سي ولغة سي++. يسمح هذا التغيير بتجميع الكود الضار لمنصتي لينكس وويندوز بتعديلات قليلة. من بين التهديدات الأخيرة، يبرز لوكا ستيلر كلص معلومات مبني على روست ظهر في البرية، إلى جانب مخاطر مثل برمجية الفدية بلاك كات.
دور روست في البرمجيات الخبيثة لا يزال ناشئًا مقارنة بغولانغ لكنه ينمو بسرعة. إصدار لوكا ستيلر كمصدر مفتوح عام يوفر للباحثين فرصة لفحص تطبيق روست في البرمجيات الضارة، مما يساعد في إنشاء دفاعات أفضل. ومع ذلك، يتطلب هذا التحول أساليب جديدة لتحليل وهندسة عكسية هذه الثنائيات المتقدمة.
يواجه المدافعون عقبات مع البرامج التنفيذية لروست. بخلاف برامج سي، تفتقر سلاسل روست إلى إنهاء نول، مما يؤدي إلى قراءة أدوات مثل غيدرا للبيانات بشكل خاطئ وإنشاء تعريفات متداخلة. غالبًا ما يحتاج المحللون إلى تعديل بايتات الكود يدويًا وإعادة تعريف السلاسل لتحليل دقيق. تحديد الدالة الرئيسية يتطلب أيضًا فهم مخرجات مترجم روست؛ نقطة الدخول تقوم بإعداد البيئة قبل استدعاء std::rt::lang_start_internal، التي ترتبط بدالة المستخدم الرئيسية عبر تتبع الوسائط.
بفضل نظام بناء كارغو لروست، يترك آثارًا. الاعتماديات، أو 'كريتس'، مرتبطة statically، وأنماط مثل 'cargo\registry' يمكن أن تكشف عن مكتبات مثل ريكويست لعمليات HTTP. قد تحتفظ أقسام التصحيح بمسارات PDB، كاشفة تفاصيل مثل اسم مستخدم الكاتب أو مجلدات النظام. مع اكتساب روست شعبية بين المهاجمين، فهم هذه الخصائص أمر حاسم لجهود الكشف.
