Хакеры пишут вирусы на Haskell, Delphi и Rust — такие вредоносы труднее анализировать и обнаружить традиционным антивирусам
114 открытий72 показов
Исследователи из университетов Греции и Нидерландов обратили внимание: всё больше вредоносов создаются не на привычных C или C++, а на менее популярных языках — Haskell, Delphi, Rust и даже Lisp.
Это не мода, а стратегия: так вирусы проще скрываются от антивирусов и сложнее поддаются анализу.
Когда антивирус ищет угрозы, он часто использует статический анализ — проверку кода без запуска. Но если вирус написан на редком языке, инструменты просто не понимают, что с ним делать. Они не видят знакомых шаблонов и не могут оценить поведение — вирус остаётся незамеченным.
Чем реже язык — тем выше шансы обойти защиту
Классика вроде C и C++ всё ещё в ходу, но всё чаще встречаются варианты: Python, Go, Delphi, Rust. Например, группировка APT29 использовала Python, Go и даже смесь из Delphi и C#. Hive и Akira перешли на Rust, а BlackByte — на Go.
Go Module Mirror три года распространял бэкдор — его заметили только сейчасtproger.ru
Такие языки часто компилируются нестандартно: код получается сложным и запутанным. Даже простой вирус на Go может выглядеть, как серьёзная программа с кучей функций. Это затрудняет проверку и делает автоматический анализ почти бесполезным.
Не только язык, но и компилятор играет роль
Авторы изучили почти 400 тыс вредоносных файлов и выяснили: важен не только язык, но и компилятор.
Инструменты вроде Delphi или Tiny C создают такой код, который антивирусы практически не узнают. Причина простая — слишком мало обучающих примеров, чтобы построить надёжные сигнатуры.
Даже если вирус делает то же самое, что на C++, его версия на Haskell может пройти мимо всех систем защиты — просто потому, что она выглядит иначе и не совпадает с известными шаблонами.
Вредоносы становятся всё разнообразнее
С каждым годом злоумышленники используют всё более необычные языки и технологии. Это усложняет жизнь аналитикам: чем реже встречается технология, тем сложнее её анализировать вручную, а автоматические системы почти бессильны.
Исследователи призывают не игнорировать эту тенденцию: чем больше экзотики в арсенале хакеров, тем выше риск, что очередной вирус окажется невидимкой. Нужно учиться замечать и такие угрозы — иначе даже простой вирус сможет проскочить под носом у самой продвинутой защиты.