Hotaktörer övergår från traditionella språk som C och C++ till moderna som Rust, vilket möjliggör utveckling av plattformsövergripande skadlig kod. En ny Rust-baserad informationsstjälare vid namn Luca har dykt upp, släppt öppet till allmänheten. Denna utveckling belyser den växande användningen av Rust i skadlig kod och skapar nya utmaningar för cybersäkerhetsförsvarare.
Malware-utvecklare vänder sig alltmer till språk som Golang, Rust och Nim, och lämnar C och C++ bakom sig. Denna förändring gör det möjligt att kompilera skadlig kod för både Linux- och Windows-plattformar med få justeringar. Bland nyliga hot utmärker sig Luca Stealer som en Rust-byggd informationsstjälare som har dykt upp i det vilda, tillsammans med faror som BlackCat ransomware.
Rust's roll i malware är fortfarande i sin linda jämfört med Golang men växer snabbt. Luca Stealer's publika open source-släpp ger forskare en chans att undersöka Rusts tillämpning i skadlig programvara, vilket bidrar till bättre försvar. Denna övergång kräver dock nya metoder för att analysera och reversera dessa avancerade binärer.
Försvarare ställs inför hinder med Rust-exekverbara filer. Till skillnad från C-program saknar Rust-strängar null-avslutning, vilket leder till att verktyg som Ghidra misstolkar data och skapar överlappande definitioner. Analytiker måste ofta manuellt justera kodbytar och omdefiniera strängar för korrekt analys. Att lokalisera main-funktionen kräver förståelse av Rust-kompilatorns utdata; inträdespunkten ställer in miljön innan den anropar std::rt::lang_start_internal, som länkar till användarens primära funktion via argument-spårning.
Hjälpsamt nog lämnar Rusts Cargo-byggsystem spår. Beroenden, eller 'crates', länkas statiskt och mönster som 'cargo\registry' kan avslöja bibliotek som reqwest för HTTP-operationer. Debug-sektioner kan behålla PDB-sökvägar, som avslöjar detaljer som författarens användarnamn eller systemkataloger. När Rust vinner mark bland hotaktörer är det viktigt att förstå dessa egenskaper för detektionsinsatser.
