Golang se stává programovacím jazykem volby pro mnoho vývojářů malwaru. Podle firmy Intezer v oblasti kybernetické bezpečnosti došlo od roku 2017 k téměř 2 000 procentnímu nárůstu počtu kmenů malwaru založeného na Go.

Očekává se, že v příštích několika letech vzroste počet útoků využívajících tento typ malwaru. Nejznepokojivější je, že vidíme mnoho aktérů hrozeb, kteří cílí na více operačních systémů s kmeny z jediné základny kódů Go.

Zde je vše, co potřebujete vědět o této nově vznikající hrozbě.

Co je Golang?

Go (aka Golang) je programovací jazyk open-source, který je stále relativně nový. Vyvinuli jej Robert Griesemer, Rob Pike a Ken Thompson ve společnosti Google v roce 2007, ačkoli veřejnosti byl oficiálně představen až v roce 2009.

Byl vyvinut jako alternativa k C ++ a Javě. Cílem bylo vytvořit něco, s čím se bude snadno pracovat a bude to snadno čitelné pro vývojáře.

Příbuzný: Naučte se jazyk Androidu pomocí tohoto školení pro vývojáře Google Go

Proč kyberzločinci používají Golang?

instagram viewer

Ve volné přírodě dnes existují tisíce malwaru založeného na golangu. Hackerské gangy sponzorované státem i státem ho využívají k výrobě řady kmenů, včetně trojských koní vzdáleného přístupu (RAT), zlodějů, minařů mincí a botnetů.

Co dělá tento typ malwaru mimořádně silným, je způsob, jakým může cílit na Windows, macOS a Linux pomocí stejné kódové základny. To znamená, že vývojář malwaru může napsat kód jednou a poté použít tuto jedinou kódovou základnu ke kompilaci binárních souborů pro více platforem. Pomocí statického propojení lze kód napsaný vývojářem pro Linux spustit v systému Mac nebo Windows.

Co #Golang se nejčastěji používá pro# programování# kódování#kód# dev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode#WomenWhoCodepic.twitter.com/Fv8v5v8Gd5

- kuka0len (@ kuka0len) 15. února 2021

Viděli jsme go-based crypto minery, které cílí na Windows i Linux stroje, stejně jako multi-platformové kryptoměny-zloděje s trojskými aplikacemi, které běží na macOS, Windows a Linux zařízeních.

Kromě této všestrannosti se kmeny napsané v Go ukázaly jako velmi nenápadné.

Mnoho z nich má infiltrované systémy bez detekce, hlavně proto, že malware napsaný v Go je velký. Také kvůli statickému propojení jsou binární soubory v Go relativně větší než v jiných jazycích. Mnoho antivirových softwarových služeb není vybaveno pro skenování těchto objemných souborů.

Navíc je pro většinu antivirů těžší najít v Go binárním souboru podezřelý kód, protože v debuggeru vypadají mnohem odlišněji než ostatní napsané ve více běžných jazycích.

Nepomáhá to, že díky funkcím tohoto programovacího jazyka je binární soubory Go stále obtížnější zpětně analyzovat a analyzovat.

Zatímco mnoho nástrojů pro reverzní inženýrství je dobře vybaveno pro analýzu binárních souborů zkompilovaných z C nebo C ++, binární soubory založené na Go stále představují pro reverzní inženýry nové výzvy. Díky tomu byla míra detekce malwaru Golang znatelně nízká.

Go-Based Malware Kmeny a útokové vektory

Před rokem 2019 bylo možné zaznamenat malware napsaný v Go jen výjimečně, ale v posledních letech došlo k neustálému nárůstu nepříjemných kmenů malwaru založeného na go.

Výzkumník malwaru našel kolem 10 700 jedinečných kmenů malwaru napsaných v Go in the wild. Nejčastěji z nich jsou RAT a zadní vrátka, ale v posledních měsících jsme také viděli velké množství zákeřného ransomwaru napsaného v Go.

ElectroRAT

Úkon #ElectroRAT
Už byly ukradeny tisíce krypto peněženek. Rozsáhlá kampaň zahrnuje napsané od začátku RAT skryté v trojanizovaných aplikacích.
Ukázky Windows, Linux a macOS nebyly ve VirusTotal detekoványhttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r

- Intezer (@IntezerLabs) 5. ledna 2021

Jedním z takových zlodějů informací napsaných v Golangu je extrémně rušivý ElectroRAT. I když existuje mnoho z těchto ošklivých informací zlodějů kolem, to, co dělá tento jeden zákeřnější, je to, jak se zaměřuje na více operačních systémů.

Kampaň ElectroRAT, objevená v prosinci 2020, obsahuje malware napříč platformami Go, který má arzenál začarovaných schopností sdílených jeho variantami pro Linux, macOS a Windows.

Tento malware je schopen zaznamenávat klíčové slovo, pořizovat snímky obrazovky, nahrávat soubory z disků, stahovat soubory a provádět příkazy kromě svého konečného cíle, kterým je vyčerpání peněženek v kryptoměně.

Příbuzný: ElectroRAT Malware cílení na kryptoměny peněženky

Rozsáhlá kampaň, o které se věří, že zůstala po celý rok nezjištěná, vyžadovala ještě propracovanější taktiku.

Posledně jmenované zahrnovalo vytvoření falešného webu a falešných účtů na sociálních médiích a vytvoření tří samostatných aplikací infikovaných trojským koněm souvisejících s kryptoměnou (každá cílení na Windows, Linux a macOS), propagace zkažených aplikací na kryptoměnových a blockchainových fórech, jako je Bitcoin Talk, a lákání obětí na trojskou aplikaci webové stránky.

Jakmile si uživatel stáhne a poté spustí aplikaci, otevře se grafické uživatelské rozhraní, zatímco malware infiltruje na pozadí.

RobbinHood

Tento zlověstný ransomware udělal titulky v roce 2019 poté, co ochromil počítačové systémy města Baltimore.

Kybernetičtí zločinci za kmenem Robbinhood požadovali za dešifrování souborů 76 000 $. Vládní systémy byly vykresleny offline a mimo provoz téměř měsíc a město údajně utratilo počátečních 4,6 milionu dolarů za obnovení dat v postižených počítačích.

Škody způsobené ztrátou příjmů mohly město stát více - podle jiných zdrojů až 18 milionů dolarů.

Robbinhood ransomware, původně kódovaný v programovacím jazyce Go, zašifroval data oběti a poté připojil názvy souborů ohrožených souborů s příponou .Robbinhood. Poté umístil spustitelný soubor a textový soubor na plochu. Textový soubor byl výkupným s požadavky útočníků.

Zebrocy

# Apt28
Vícejazyčný malwarový salát od společnosti Zebrocyhttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY

- blackorbird (@blackorbird) 4. června 2019

V roce 2020 vyvinul operátor malwaru Sofacy variantu Zebrocy napsanou v Go.

Kmen se vydával za dokument Microsoft Word a byl rozšířen pomocí phishingových návnad COVID-19. Fungovalo to jako stahovač, který shromažďoval data ze systému infikovaného hostitele a poté tato data nahrál na server příkazů a kontrol.

Příbuzný: Dejte si pozor na těchto 8 kybernetických podvodů COVID-19

Arzenál Zebrocy, složený z kapátka, zadních vrátek a stahovačů, se používá již mnoho let. Jeho varianta Go však byla objevena až v roce 2019.

Byl vyvinut státem podporovanými skupinami pro počítačovou kriminalitu a dříve se zaměřoval na ministerstva zahraničních věcí, velvyslanectví a další vládní organizace.

Více malwaru Golang, který přijde v budoucnosti

Go-based malware roste v popularitě a neustále se stává programovacím jazykem go-to pro aktéry hrozeb. Jeho schopnost cílit na více platforem a zůstat dlouho nezjištěný z něj dělá vážnou hrozbu hodnou pozornosti.

To znamená, že stojí za to zdůraznit, že musíte přijmout základní opatření proti malwaru. Neklikejte na žádné podezřelé odkazy a nestahujte přílohy z e-mailů nebo webových stránek - i když pocházejí od vaší rodiny a přátel (kteří již mohou být infikováni).

E-mailem
Dokáže kybernetická bezpečnost držet krok? Budoucnost malwaru a antivirových programů

Malware se neustále vyvíjí a nutí vývojáře antivirových programů držet krok. Například malware bez souborů je v podstatě neviditelný - tak jak se mu můžeme bránit?

Související témata
  • Bezpečnostní
  • Zabezpečení online
  • Malware
O autorovi
Loraine Balita-Centeno (Publikováno 27 článků)

Loraine píše pro časopisy, noviny a webové stránky již 15 let. Má magisterský titul v oboru aplikovaných mediálních technologií a velký zájem o digitální média, studium sociálních médií a kybernetickou bezpečnost.

Více od Loraine Balita-Centeno

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.