Lợi Ích Kỹ Thuật Của Malware Dựa Trên Rust

26/03/2025
2 mins read

Lợi thế kỹ thuật của Malware dựa trên Rust

  • Tăng độ phức tạp trong việc phân tích ngược:
    • Tệp nhị phân Rust lớn hơn đáng kể so với các tệp C/C++, làm tăng độ phức tạp trong việc phân tích ngược. Ví dụ, một loader shellcode tương đương về chức năng trong Rust có kích thước 151.5 KB, trong khi phiên bản C là 71.7 KB.
    • Các công cụ phân tích malware tự động sản xuất ra nhiều kết quả dương tính giả và âm tính giả hơn khi phân tích malware biên dịch bằng Rust, làm cho việc phát hiện và phân tích trở nên khó khăn hơn.
  • Khó khăn trong việc phân giải mã:
    • Các công cụ phân tích ngược thông thường như Ghidra và IDA Free gặp khó khăn trong việc phân giải mã tệp nhị phân Rust so với các tệp C/C++. Đầu ra từ decompile của Ghidra từ Rust phức tạp hơn nhiều do các tối ưu hóa từ rustc và sự khác biệt trong quản lý bộ nhớ.
  • Tính năng chống phân tích:
    • Rust cung cấp các tính năng chống phân tích vốn có khiến việc phân tích ngược malware trở nên khó khăn hơn. Những tính năng này bao gồm ít ranh giới hàm rõ ràng hơn và mã lắp ráp tối ưu hóa cao khó hiểu.

Minh chứng thực tế

  • Tiêm tệp bằng cách ánh xạ:
    • Nghiên cứu bao gồm một minh chứng thực tế về một dropper malware dựa trên Rust sử dụng các kỹ thuật tiêm ánh xạ tệp để né tránh bị phát hiện. Phương pháp này sử dụng các API Windows ít được biết đến như CreateFileMapping, MapViewOfFile, và MapViewOfFileNuma2 thay vì các hàm thường được theo dõi như VirtualAlloc và VirtualAllocEx.
  • Cân nhắc OPSEC:
    • Một điểm cân nhắc OPSEC đáng chú ý là Rust bao gồm các đường dẫn tệp tuyệt đối trong các tệp nhị phân đã biên dịch cho các mục đích gỡ lỗi, có thể làm lộ thông tin nhận dạng về môi trường phát triển.

Độ phổ biến của Rust trong số các tác giả malware

  • Các ngôn ngữ như Rust, Go, và Nim ngày càng trở nên phổ biến trong số các tác giả malware do khả năng làm tăng độ khó trong việc phân tích ngược và cải thiện khả năng né tránh các cơ chế phát hiện dựa trên chữ ký.

Kết luận

  • Các phát hiện cho thấy rằng khi các giải pháp bảo mật phát triển, việc phát triển malware vẫn là một trò chơi mèo vờn chuột yêu cầu việc tinh chỉnh liên tục các kỹ thuật. Rust cung cấp những lợi thế hấp dẫn cho những người muốn phát triển mã độc khó phát hiện hơn, khiến nó trở thành lựa chọn ưu tiên trong số các tác giả malware.
Tags