基于 Go 編寫(xiě)的惡意軟件數(shù)量激增 2000%
網(wǎng)絡(luò)安全公司 Intezer 發(fā)布了一份報(bào)告,概述了威脅行為者在 2020 年期間使用 Go 惡意軟件的情況。其中包括對(duì)已經(jīng)活躍多年的惡意軟件和從未被公開(kāi)報(bào)道的惡意軟件的代碼連接和 IoC 的分析。
該報(bào)告指出,自 2017 年以來(lái),用 Go 編程語(yǔ)言編碼的惡意軟件菌株數(shù)量在過(guò)去幾年中急劇增加了約 2000%。這一發(fā)現(xiàn)凸顯并證實(shí)了惡意軟件生態(tài)系統(tǒng)的一個(gè)普遍趨勢(shì),即惡意軟件作者已經(jīng)慢慢從 C 和 C++ 轉(zhuǎn)向 Go。
第一個(gè)基于 Go 的惡意軟件在 2012 年被發(fā)現(xiàn),在此幾年后,Go 才在惡意軟件領(lǐng)域流行起來(lái)。報(bào)告指出,在 2019 年之前,發(fā)現(xiàn)用 Go 編寫(xiě)的惡意軟件更多的是一種罕見(jiàn)的現(xiàn)象,而在 2019 年期間,它變成了一種日常現(xiàn)象。現(xiàn)如今,Go 語(yǔ)言已經(jīng)被惡意軟件廣泛采用。 國(guó)家級(jí)黑客組織( APT)、網(wǎng)絡(luò)犯罪操作員甚至連安全團(tuán)隊(duì)都在使用該語(yǔ)言,并經(jīng)常使用它來(lái)創(chuàng)建滲透測(cè)試工具包。
而 Golang 之所以出現(xiàn)這種“人氣”驟增的現(xiàn)象,主要原因有三。首先是 Go 支持跨平臺(tái)編譯的簡(jiǎn)易流程;這使得惡意軟件開(kāi)發(fā)者只需編寫(xiě)一次代碼,就可以從同一個(gè)代碼庫(kù)中編譯出多個(gè)平臺(tái)的二進(jìn)制文件,讓他們可以從同一個(gè)代碼庫(kù)中針對(duì) Windows、Mac 和 Linux,這種多功能性是其他許多編程語(yǔ)言通常不具備的。
第二個(gè)原因是基于 Go 的二進(jìn)制文件仍然很難被安全研究人員分析和逆向工程,這使得基于 Go 的惡意軟件的檢出率一直很低。第三個(gè)原因與 Go 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包和請(qǐng)求工作的支持有關(guān)。Intezer 解釋稱:
- "Go 具有編寫(xiě)良好的網(wǎng)絡(luò)堆棧,很容易操作。Go 已經(jīng)成為云計(jì)算的編程語(yǔ)言之一,很多云原生應(yīng)用都是用它編寫(xiě)的。例如,Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus 和 Consul 都是用 Go 編寫(xiě)的。考慮到創(chuàng)建 Go 的原因之一就是發(fā)明一種更好的語(yǔ)言來(lái)代替 Google 使用的內(nèi)部 C++ 網(wǎng)絡(luò)服務(wù),因此這是有道理的。"
由于惡意軟件菌株通常會(huì)一直篡改、組裝或發(fā)送/接收網(wǎng)絡(luò)數(shù)據(jù)包,Go 為惡意軟件開(kāi)發(fā)人員提供了他們?cè)谝粋€(gè)地方所需的所有工具,這也就很容易理解為什么許多惡意軟件編碼人員都會(huì)放棄 C 和 C++ 而使用它。
Intezer 指出,許多惡意軟件(家族)都是針對(duì) Linux 和物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò),它們可以安裝加密礦機(jī)或?qū)⑹芨腥镜臋C(jī)器加入 DDoS 僵尸網(wǎng)絡(luò)。此外,使用 Go 編寫(xiě)的勒索軟件似乎也在變得越來(lái)越普遍。
在 2020 年看到的一些最大和最流行的基于 Go 的威脅的例子包括(每個(gè)類別):
Nation-state APT malware:
- Zebrocy- 俄羅斯政府資助的組織 APT28 去年為其 Zebrocy 惡意軟件創(chuàng)建了一個(gè)基于 Go 的版本。
- WellMess- 俄羅斯政府資助的組織 APT29 去年部署了其基于 Go 的 WellMess 惡意軟件的新升級(jí)版本。
E-crime malware:
- GOSH - Carbanak 組織在去年 8 月部署了一個(gè)用 Go 編寫(xiě)的名為 GOSH 的新 RAT。
- Glupteba - 2020 年出現(xiàn)了新版本的 Glupteba loader,比以往任何時(shí)候都先進(jìn)。
- Bitdefender 看到了一個(gè)針對(duì)運(yùn)行 Oracle WebLogic 的 Linux 服務(wù)器的新 RAT。
- CryptoStealer.Go - 2020 年出現(xiàn)了新的改進(jìn)版 CryptoStealer.Go 惡意軟件,此惡意軟件的目標(biāo)是加密貨幣錢(qián)包和瀏覽器密碼。
此外,在 2020 年還發(fā)現(xiàn)了一個(gè)用 Go 語(yǔ)言編寫(xiě)的 clipboard stealer。
基于 Go 編寫(xiě)的新勒索軟件菌株:
- RobbinHood
- Nefilim
- EKANS
鑒于其最近的發(fā)現(xiàn),Intezer 與其他公司一起,預(yù)計(jì) Golang 的使用率在未來(lái)幾年將繼續(xù)上升,并與 C、C++ 和 Python一起,成為未來(lái)惡意軟件編碼的首選編程語(yǔ)言。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:基于 Go 編寫(xiě)的惡意軟件數(shù)量激增 2000%
本文地址:https://www.oschina.net/news/131384/go-malware-2020