Hackere velger obskure språk: «Går under radaren»

Log4Shell-angrepet ble skrevet i D, og det er det flere gode grunner til, tror Martin Ingesen.

- Nim er et språk som er på mange måter likt D, og så en periode stor adopsjon hos skadevareutviklere. Dette resulterte i at legitime programmer skrevet i Nim plutselig ble flagget av ulike antivirus som skadelige, forteller Martin Ingesen, grunnlegger av og daglig leder i pentester-selskapet Kovert. 📸: Mattis Vaaland
- Nim er et språk som er på mange måter likt D, og så en periode stor adopsjon hos skadevareutviklere. Dette resulterte i at legitime programmer skrevet i Nim plutselig ble flagget av ulike antivirus som skadelige, forteller Martin Ingesen, grunnlegger av og daglig leder i pentester-selskapet Kovert. 📸: Mattis Vaaland Vis mer

Forskere som har sett på Lazarus-gruppens Log4Shell-angrep, har avslørt varianter av skadevare som er skrevet på det "atypiske" programmeringsspråket D, skriver The Register.

Ifølge nettavisen er D et nyere minnesikkert språk som også skal være populært blant vestlige sikkerhetstjenester.

På hjemmesiden til språket kan vi lese at "D er et programmeringsspråk med generelle formål, statisk typetilordning, systemnivå-tilgang og syntaks lik den i C".

Enkelt å utvikle

Ifølge Martin Ingesen, grunnlegger av og daglig leder i pentester-selskapet Kovert, er det flere faktorer som spiller inn på hvorfor et språk er populært hos hackere.

Hackere som lager egen skadevare er jo tross alt programvareutviklere som alle andre.

- Man ønsker å ha moderne språk med funksjoner som gjør det enkelt å utvikle, gir tilgang til lavnivå funksjonalitet i operativsystemet hvis man ønsker det, samtidig som den resulterende koden kjører trygt og effektivt. For eksempel uten minnelekkasjer eller feil som kan få programmet til å kræsje, sier han til kode24.

Obskure språk

Ifølge Ingesen ønsker hackerne som regel at programmet skal kompileres til en binærfil uten eksterne avhengigheter. Dette er bakgrunnen til at man ikke ser så mange "Just-in-time" (JIT) eller "interpreterte" språk som Java eller Python bli brukt.

- Det største unntaket til denne regelen vil kanskje være C#, men hvor de fleste Windows-maskiner i dag har .Net-runtimen installert, så det er som regel gitt at den er tilgjengelig for å kjøre C#-programmer, sier han.

For skadevareutviklere spesifikt er det en fordel at noen språk er mer obskure enn andre.

- Dette betyr ofte at det ikke er laget "signaturer" for skadevare laget i det språket, som ofte kan hjelpe til med å gå under radaren. Et morsomt eksempel her, er jo bruken av Nim. Nim er et språk som er på mange måter likt D, og så en periode stor adopsjon hos skadevareutviklere. Dette resulterte i at legitime programmer skrevet i Nim plutselig ble flagget av ulike antivirus som skadelige.

Unngå dette

- Hvilke grep kan man ta for å beskytte seg?

- Antivirus som baserer seg på statiske signaturer er generelt sett søppel og lette å omgå. Hvis man sammenlikner de med fingeravtrykk, så har antivirus en stor oversikt over en haug med hele og delvis fingeravtrykk, sier Ingesen.

Han legger til at problemet er at det er enkelt å endre fingeravtrykkene til et program.

- For å kunne gardere seg så må man benytte seg av programmer som ser mer på oppførselen til disse filene. Heldigvis ser vi et skift i moderne antivirus som går den retningen.