Язык программирования Rust зарекомендовал себя как современный, эффективный и безопасный инструмент в сфере разработки программного обеспечения. Благодаря своим возможностям, таким как строгая типизация, управление памятью без сборщика мусора и высокая производительность, Rust приобрёл популярность как среди разработчиков, так и среди злоумышленников, создающих вредоносное ПО. За последние годы рост использования Rust в зловредах вызвал серьёзные сложности в сфере обратного анализа и обнаружения таких программ. Microsoft, учитывая эти изменения в ландшафте киберугроз, представила RIFT — инструмент, предназначенный для автоматизации и упрощения процесса анализа вредоносных программ на Rust и повышения эффективности работы аналитиков. Использование Rust злоумышленниками обусловлено несколькими важными преимуществами, которые даёт этот язык.
Во-первых, Rust позволяет создавать сложные многопоточные приложения с минимальными рисками ошибок, связанных с памятью, что делает вредоносное ПО более устойчивым и менее подверженным сбоям. Во-вторых, Rust компилируется в статические бинарные файлы, которые зачастую включают в себя большую часть используемых библиотек, что значительно увеличивает объём и сложность бинарных файлов в сравнении с традиционными языками, такими как C++ или C. Это создаёт дополнительную нагрузку на специалистов по кибербезопасности, которым приходится вручную фильтровать и отделять вредоносный код от стандартизированных частей библиотек. Основная сложность, с которой сталкиваются аналитики при работе с Rust-вредоносом, заключается в трудноотличимой библиотечной базе, встроенной непосредственно в исполняемые файлы. Стандартные средства анализа часто неспособны быстро и точно распознавать и маркировать участки кода, относящиеся к системным и сторонним библиотекам Rust.
Это существенно замедляет процесс анализа, снижает качество обнаружения и усложняет разработку эффективных мер защиты. Чтобы преодолеть эти проблемы, Microsoft Threat Intelligence Center создал RIFT — набор инструментов и плагинов для IDA Pro, популярной платформы для реверс-инжиниринга. RIFT реализует комплексный подход для автоматизации идентификации кода, написанного злоумышленниками, отделяя его от библиотечного кода. Это достигается за счёт использования механизмов паттерн-матчинга и бинарного дифферинга на основе поведения и структуры байт-кода Rust. RIFT состоит из нескольких ключевых компонентов.
Первый — RIFT Static Analyzer — плагин, который анализирует бинарный файл на предмет извлечения метаданных, включая версию компилятора Rust, список статически связанных зависимостей и целевую платформу. Эта информация служит фундаментом для дальнейшей работы по созданию точных сигнатур и шаблонов распознавания. Второй элемент — RIFT Generator — сценарий на Python, который автоматизирует процесс загрузки нужных версий компилятора и библиотек, их компиляцию, а также создание FLIRT-сигнатур и проведение бинарного сравнительного анализа с исследуемым образцом. Третий компонент — RIFT Diff Applier — плагин для IDA Pro, который позволяет применять полученную информацию о бинарных различиях для динамичной и интерактивной маркировки кода в ходе анализа. FLIRT (Fast Library Identification and Recognition Technology) — одна из ключевых технологий, применяемых RIFT для эффективного обнаружения библиотечного кода.
Изначально разработанная для распознавания стандартных библиотек в коде на C и C++, она позволяет точно и быстро идентифицировать знакомые функции. Однако строгость критериев FLIRT иногда ограничивает её эффективность в случаях со сложными бинарными файлами Rust. Для усиления анализа RIFT дополняет этот метод бинарным дифферином — сравнением функционально схожих фрагментов кода из исследуемого файла с уже скомпилированными библиотечными объектами. Такой подход помогает выявлять библиотечный код даже при наличии модификаций или оптимизаций, проводимых компилятором Rust. Практическое применение RIFT уже продемонстрировало значительное снижение времени и усилий, необходимых для анализа сложных вредоносных программ на Rust.
Например, при исследовании семейства вымогателей RALord RIFT позволил автоматизированно идентифицировать большинство стандартных функций и библиотечных компонентов, что позволило сосредоточиться исключительно на анализе уникального вредоносного кода. Подобный опыт показывает, что использование RIFT значительно повышает качество детектирования и реверс-инжиниринга, помогая специалистам лучше понимать инженерию злонамеренных программ и разрабатывать более эффективные меры защиты. Рост популярности Rust-вредоносного ПО среди различных киберугроз, включая финансово мотивированные хакерские группы и государственные спецслужбы, подчёркивает необходимость специализированных инструментов, таких как RIFT. Наблюдая тренды последних лет, можно отметить, что использование Rust становится стандартом для современных разработчиков вредоносного кода благодаря своему потенциалу создавать надежные и трудно анализируемые программы. Именно поэтому инструменты безопасности должны поспевать за развитием технологий злоумышленников, чтобы эффективно противодействовать угрозам.
Открытый релиз RIFT подтверждает приверженность Microsoft делу развития глобального сообщества кибербезопасности, предоставляя аналитикам доступ к современным решениям для сложного анализа Rust-вредоносных программ. Помимо облегчения реверс-инжиниринга, RIFT содействует усилению сотрудничества между исследователями, позволяя быстро делиться открытыми разработками и результатами исследований в области защиты от новых видов угроз. Помимо технической реализации RIFT несёт педагогическую ценность. Знакомство с архитектурой Rust, особенностями его компиляции, способами идентификации библиотечного кода и функционалом плагинов служит отличной базой для образования специалистов в области анализа вредоносных программ. Это позволит повысить общий уровень знаний в индустрии и улучшить качество выявления и пресечения сложных кибератак.
В итоге, появление RIFT — важный шаг вперёд в борьбе с Rust-вредоносом. Этот инструмент сочетает в себе инновационные методы автоматизации и точного анализа, благодаря чему специалисты могут быстро отделять чисто библиотечные функции от кода, написанного злоумышленниками, и более эффективно выявлять угрозы. Microsoft, продолжая вкладываться в исследования и развитие средств безопасности, демонстрирует пример ответственной инновационной политики, нацеленной на защиту пользователей и корпоративных клиентов в условиях постоянно эволюционирующей киберугрозной среды. Широкое распространение RIFT среди исследователей и аналитиков, а также его интеграция в процессы изучения вредоносного ПО позволит формировать более точные модели поведения современных атакующих, а также создавать новые, более устойчивые методы защиты. Это особенно важно на фоне роста использования многофункциональных многоязыковых вредоносных экосистем, где Rust играет всё более заметную роль.
В конечном счёте, RIFT способствует повышению глобальной кибербезопасности, помогая защитить критически важную инфраструктуру и данные от вредоносных воздействий, основанных на передовых технологиях.
![Efficient manipulation of binary data using pattern matching [pdf]](/images/6AF62465-E7DF-4583-9460-A3BBD1F0A74E)
