Új reverse engineering eszköz: RIFT (Rust Interactive Function Tool)
A Microsoft Threat Intelligence Center 2025. június 27-én bejelentette a RIFT, azaz a Rust Interactive Function Tool-t, egy olyan eszközt, amely a rosszindulatú szoftverek elemzőit segíti a támadók által írt kód Rust bináris programokban történő automatikus azonosításában. A hatékonyságáról, típusbiztonságáról és robusztus memóriabiztonságáról ismert Rust egyre inkább a rosszindulatú programok készítésének eszközévé vált, különösen a pénzügyi motivációjú csoportok és a nemzetállami szereplők körében. Ez a váltás új kihívások elé állította a malware elemzőket, mivel a Rust binárisok egyedi jellemzői összetettebbé teszik a statikus elemzést.
A Rust segítségével fejlesztett rosszindulatú szoftverek visszafejtésének egyik fő kihívása az absztrakciós rétegekben rejlik, amelyeket az olyan funkciók, mint a memóriabiztonság és az egyidejűség kezelése adnak hozzá, ami megnehezíti a rosszindulatú szoftverek viselkedésének elemzését. A hagyományos nyelvekhez képest a Rust bináris programcsomagok gyakran nagyobbak és összetettebbek a kiterjedt könyvtári kód beépítése miatt.
Ahogy a Rust egyre népszerűbbé válik, mint gyorsan növekvő programozási nyelv, úgy válik egyre feltűnőbbé a használata a kiberszereplők körében. Az elmúlt öt évben a Microsoft Threat Intelligence Center és a biztonsági iparág megfigyelte, hogy pénzügyileg motivált és államilag támogatott csoportok egyre inkább a Rustot használják rosszindulatú programok fejlesztésére.
2021 decemberében megjelent egy Rust alapú BlackCat ransomware jelentés, majd 2022 júniusában a Hive zsarolóvírust írták újra Rust nyelven. 2023 májusában Rust-alapú stealer-ek éltek vissza a GitHub Codespace-el, majd 2025 márciusában megjelent egy jelentés a RALord nevű Rust ransomware-ről, végül 2025 májusában a népszerű AsyncRAT malware-családot írták át Rustban.
2021-ben a hírhedt BlackCat ransomware mögött álló csoport az első jelentős entitások között volt a zsarolóvírusok területén, akik Rust nyelven írták rosszindulatú programjaikat. Az első Rust nyelven írt rosszindulatú programcsaládok megjelenését követően a reverse engineerek jelezték, hogy az ilyen rosszindulatú programok egyedi kihívást jelentenek az elemzés számára. Ezt követően több más csoport is elkezdte fejleszteni vagy átírni eszközeit Rust nyelven.
A RIFT-el kapcsoaltban kiemeli a Microsoft, hogy egyre nagyobb szükség van a speciális eszközökre, mivel a kiberszereplők továbbra is kihasználják a Rust funkcióit a felderítés megkerülésére és az elemzés megnehezítésére. A Microsoft blogbejegyzésben azt vizsgálják meg, hogy a kiberszereplők a sokoldalúsága miatt egyre gyakrabban alkalmazzák a Rust-ot rosszindulatú programok fejlesztésére, és hogy a RIFT hogyan használható a Rust alapú malware-ek által jelentett fenyegetés leküzdésére az elemzések hatékonyságának és pontosságának növelésével.
