Rust asosidagi Luca Stealer: Linux va Windows tizimlarida tarqalayotgan yangi kiberxavf

So‘nggi yillarda kiberjinoyatchilar zararli dasturlarni yaratishda an’anaviy C va C++ tillaridan tobora ko‘proq voz kechib, zamonaviy va ko‘p platformali dasturlash tillari — Rust, Golang va Nim’ga o‘ta boshladi. Bu strategik o‘zgarish ularga bir xil kod bazasi yordamida Linux va Windows tizimlari uchun zararli dasturlarni deyarli o‘zgartirishsiz kompilyatsiya qilish imkonini bermoqda.

Ana shunday yangi tahdidlardan biri — Luca Stealer bo‘lib, u yaqinda faol tarqala boshladi va BlackCat kabi yirik tahdidlar bilan bir qatorda tilga olinmoqda.

Luca Stealer’ning paydo bo‘lishi va xavfi

Rust dasturlash tili hali Golang darajasida ommalashmagan bo‘lsa-da, zararli dasturlar muhitida uning qo‘llanilishi jadal sur’atda kengaymoqda. Luca Stealer bu jarayondagi muhim burilishlardan biri hisoblanadi, chunki u ochiq manbali (open-source) modelda ommaga taqdim etilgan.

Bu holat bir tomondan hujumchilar uchun imkoniyat bo‘lsa, boshqa tomondan kiberxavfsizlik tadqiqotchilari uchun noyob imkon yaratadi. Mutaxassislar Rust tilida yozilgan zararli dasturlar qanday tuzilishini, qaysi mexanizmlar orqali yashirinishini va qanday himoya choralarini chetlab o‘tishini chuqur o‘rganish imkoniga ega bo‘lmoqda.

Shu bilan birga, bu tendensiya himoyachilar oldiga yangi vazifalarni qo‘ymoqda — Rust binar fayllarini tahlil qilish va teskari muhandislik (reverse engineering) bo‘yicha yangi yondashuvlar talab etilmoqda.

Rust binarlarini tahlil qilishdagi murakkabliklar

Rust’da yozilgan zararli dasturlarni tahlil qilish an’anaviy C/C++ dasturlariga qaraganda ancha murakkab. Buning asosiy sababi — string (matn) bilan ishlash mexanizmi.

C dasturlarida string’lar odatda null byte bilan tugaydi. Rust’da esa bunday emas — string’lar null bilan yakunlanmaydi. Shu sababli Ghidra kabi mashhur tahlil vositalari ba’zan ma’lumotlarni noto‘g‘ri talqin qiladi, string’lar bir-birining ustiga chiqib ketadi.

Amaliyotda tahlilchilar ko‘pincha:

  • kod baytlarini qo‘lda tozalashga,
  • string’larni qayta aniqlashga,
  • haqiqiy ma’lumotlarni alohida ajratib olishga majbur bo‘ladilar.

Rust dasturining boshlanish nuqtasini aniqlash

Rust binarida asosiy main funksiyani topish ham alohida bilim talab qiladi. Binary Defence mutaxassislarining ta’kidlashicha, Rust dasturlarida kirish nuqtasi (entry point) avvalo muhitni sozlaydi va keyin std::rt::lang_start_internal nomli ichki funksiyani chaqiradi.

Aynan shu funksiya foydalanuvchi yozgan haqiqiy main funksiyaning manzilini argument sifatida oladi. Tajribali tahlilchi ushbu argumentlarni kuzatish orqali dastur mantiqining markaziga yetib borishi mumkin.

Himoyachilar uchun ijobiy jihatlar

Barcha murakkabliklarga qaramay, Rust zararli dasturlarida muayyan izlar (artefaktlar) saqlanib qoladi. Masalan, Rust’ning build tizimi bo‘lgan Cargo tashqi kutubxonalarni (crate’lar) ko‘pincha statik tarzda binar ichiga joylaydi.

Tahlil jarayonida:

  • cargo\registry kabi string’larni qidirish orqali,
  • dasturda qaysi kutubxonalar ishlatilganini aniqlash mumkin.

Masalan, reqwest crate’i topilsa, bu zararli dastur HTTP so‘rovlar orqali ma’lumot uzatayotganidan dalolat beradi. Bundan tashqari, ba’zi hollarda Debug Data bo‘limida PDB yo‘llari saqlanib qolib, muallifning foydalanuvchi nomi yoki tizim yo‘llari ochilib ketishi ham mumkin.

Komprometatsiya belgilari (IoC)

Himoya va monitoring jarayonlarida quyidagi indikatorlarga alohida e’tibor qaratish tavsiya etiladi:

  • SHA256:
    8f47d1e39242ee4b528fcb6eb1a89983c27854bac57bc4a15597b37b7edf34a6
    (Rust asosidagi noma’lum zararli dastur namunasi)
  • String indikatorlar:
    • cargo\registry — Rust crate’lariga ishora
    • std::rt::lang_start_internal — Rust runtime kirish nuqtasi

Rust asosidagi Luca Stealer — bu shunchaki yangi zararli dastur emas, balki kiberjinoyatchilarning texnologik jihatdan yetuklashayotganini ko‘rsatuvchi signaldir. Ko‘p platformalilik, murakkab tahlil va yuqori yashirinish darajasi uni jiddiy tahdidga aylantiradi.

Shu bois bugungi kunda kiberxavfsizlik mutaxassislari uchun Rust binarlarini tahlil qilish ko‘nikmalari, yangi IoC’larni aniqlash va zamonaviy zararli dasturlarga moslashgan himoya strategiyalarini ishlab chiqish har qachongidan ham muhimdir.