本文转载自微信公众号“安数网络”(anshunet)。
网络安全公司Intezer发布一份报告称,自2017年以来,使用Go编程语言编码的恶意软件数量急剧增加了2,000%左右。此外,还突显出恶意软件生态系统的总体趋势:恶意软件开发人员已逐渐从C和C ++转向Go(Go语言是由Google在2007年开发和发布的编程语言)。
虽然在2012年才发现了第一个基于Go的恶意软件,但是Go是在近几年的时间里才逐渐在恶意软件中流行的。Intezer在其报告中说:“在2019年之前,发现用Go编写的恶意软件的情况很少见,但在2019年则变成了普遍现象。”而在今天,Go(通常也被称为Golang)已经不断突破并被广泛采用。黑客甚至安全团队都使用它,他们经常使用它来创建渗透测试工具包。
恶意软件选择Go的主要原因有三个:
- 首先是Go支持跨平台编译。这让恶意软件开发人员可以只编写一次代码,并从同一代码库中编译出多个平台的二进制文件,包括Windows,Mac和Linux,这是很多编程语言通常所不具备的多功能性。
- 第二个原因是安全研究人员仍然很难对基于Go的二进制文件进行分析和逆向工程,这使得基于Go语言编写的恶意程序检出率一直很低。
- 第三个原因与Go支持使用网络数据包和请求工作有关。Intezer解释:“Go具有编写良好的网络栈,易于使用。Go已经成为云的编程语言之一,很多云原生应用都是用它编写的。例如,Docker,Kubernetes,InfluxDB,Traefik,Terraform,CockroachDB,Prometheus和Consul都是用Go编写的。因此,创建Go的原因之一就是希望发明一种更好的语言来代替Google内部使用C ++网络服务,因此是很有说服力的。”
由于恶意软件通常会一直篡改,组装或发送/接收网络数据包,因此Go为恶意软件开发人员提供了所需的所有工具,这些很容易看出为什么许多恶意软件开发者为此放弃了C和C ++。这三个原因也是为什么在2020年会观察到如此比以往更多的Go语言恶意软件的主要原因。
Intezer说:“这些恶意软件中有许多是针对Linux和IoT设备的僵尸网络,它们可以安装加密矿工或将受感染的机器注册到DDoS僵尸网络中。
在2020年看到的一些最大和最流行的基于Go的威胁的例子包括:
(1) Nation-state APT malware:
- Zebrocy—俄罗斯黑客组织APT28去年为其Zebrocy恶意软件创建了一个基于Go的版本。
- WellMess —俄罗斯黑客组织APT29去年部署了其基于Go的WellMess恶意软件的新升级版本。
(2)
E-crime malware:
- GOSH —Carbanak 组织在去年 8 月部署了一个用 Go 编写的名为 GOSH 的新 RAT。
- Glupteba —2020 年出现了新版本的 Glupteba loader,比以往任何时候都先进。
- Bitdefender —看到了一个针对运行 Oracle WebLogic 的 Linux 服务器的新 RAT。
- CryptoStealer.Go —2020 年出现了新的改进版 CryptoStealer.Go 恶意软件,此恶意软件的目标是加密货币钱包和浏览器密码。
- 此外,在 2020 年还发现了一个用 Go 语言编写的 clipboard stealer。
(3) Go编写的新勒索软件病毒:
- RobbinHood
- Nefilim
- EKANS
根据报告显示,Intezer预计Go的使用在未来几年中还会持续增长,并与C,C ++和Python一起,成为编码恶意软件的首选编程语言。
本文翻译自:
https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/
