Aktor ancaman beralih dari bahasa tradisional seperti C dan C++ ke yang modern seperti Rust, memungkinkan pengembangan malware lintas platform. Muncul pencuri informasi baru berbasis Rust bernama Luca, dirilis secara terbuka ke publik. Perkembangan ini menyoroti penggunaan Rust yang semakin meningkat dalam malware, menimbulkan tantangan baru bagi pembela keamanan siber.
Pengembang malware semakin beralih ke bahasa seperti Golang, Rust, dan Nim, menjauh dari C dan C++. Perubahan ini memungkinkan mereka mengompilasi kode berbahaya untuk platform Linux dan Windows dengan sedikit penyesuaian. Di antara ancaman terbaru, Luca Stealer menonjol sebagai pencuri informasi buatan Rust yang muncul di alam liar, muncul bersama bahaya seperti ransomware BlackCat.
Peran Rust dalam malware masih tahap awal dibandingkan Golang tetapi berkembang cepat. Rilis open-source publik Luca Stealer memberi peneliti kesempatan untuk memeriksa aplikasi Rust dalam perangkat lunak berbahaya, membantu penciptaan pertahanan yang lebih baik. Namun, pergeseran ini menuntut pendekatan baru untuk menganalisis dan reverse-engineer biner canggih ini.
Pembela menghadapi rintangan dengan executable Rust. Tidak seperti program C, string Rust tidak memiliki terminasi null, menyebabkan alat seperti Ghidra salah membaca data dan membuat definisi tumpang tindih. Analis sering perlu menyesuaikan byte kode secara manual dan mendefinisikan ulang string untuk analisis akurat. Menemukan fungsi utama juga memerlukan pemahaman output kompiler Rust; titik masuk menyiapkan lingkungan sebelum memanggil std::rt::lang_start_internal, yang terhubung ke fungsi utama pengguna melalui pelacakan argumen.
Untungnya, sistem build Cargo Rust meninggalkan jejak. Dependensi, atau 'crates', ditautkan secara statis, dan pola seperti 'cargo\registry' dapat mengungkap pustaka seperti reqwest untuk operasi HTTP. Bagian debug mungkin menyimpan jalur PDB, mengungkap detail seperti nama pengguna penulis atau direktori sistem. Saat Rust semakin populer di kalangan aktor ancaman, memahami sifat ini vital untuk upaya deteksi.
