Какво трябва да знаете за зловредния софтуер, базиран на Golang

Golang се превръща в предпочитан език за програмиране за много разработчици на зловреден софтуер. Според компанията за киберсигурност Intezer, има почти 2000 процента увеличение на броя на базираните на Go щамове щамове, открити в природата от 2017 г. насам.

Броят на атаките, използващи този тип зловреден софтуер, се очаква да се увеличи през следващите няколко години. Най-тревожното е, че виждаме много участници в заплахата, които са насочени към множество операционни системи с щамове от една кодова база Go.

Ето всичко останало, което трябва да знаете за тази възникваща заплаха.

Какво е Golang?

Go (известен още като Golang) е език за програмиране с отворен код, който все още е сравнително нов. Той е разработен от Робърт Гриземер, Роб Пайк и Кен Томпсън в Google през 2007 г., въпреки че е представен официално пред обществеността едва през 2009 г.

Той е разработен като алтернатива на C ++ и Java. Целта беше да се създаде нещо, с което да се работи лесно и да се чете лесно за разработчиците.

Свързани: Научете езика на Android с това обучение за разработчици на Google Go

Защо киберпрестъпниците използват Golang?

Днес в природата има хиляди зловредни програми, базирани на Golang. Както хангираните банди, спонсорирани от държавата, така и от държавата, го използват, за да произведат множество щамове, включително троянски коне за отдалечен достъп (RAT), кражби, майнери на монети и ботнети.

Това, което прави този тип зловреден софтуер допълнително мощен, е начинът, по който може да се насочи към Windows, macOS и Linux, използвайки същата кодова база. Това означава, че разработчикът на зловреден софтуер може да напише код веднъж и след това да използва тази единична кодова база, за да компилира двоични файлове за множество платформи. Използвайки статично свързване, код, написан от разработчик за Linux, може да работи на Mac или Windows.

Виждали сме базирани на go крипто майнери, които са насочени както към машини с Windows и Linux, така и към многоплатформени крадци на криптовалути с троянски приложения, работещи на macOS, Windows и Linux устройства.

Освен тази гъвкавост, щамовете, написани в Go, също се оказаха много крадливи.

Много от тях са проникнали в системи без откриване, главно защото зловредният софтуер, написан в Go, е голям. Също така поради статичното свързване, двоичните файлове в Go са относително по-големи в сравнение с тези на други езици. Много антивирусни софтуерни услуги не са оборудвани за сканиране на толкова обемисти файлове.

Освен това за повечето антивируси е по-трудно да намерят подозрителен код в двоичен файл Go, тъй като те изглеждат много по-различно при дебъгер в сравнение с други, написани на по-масови езици.

Не помага, че характеристиките на този език за програмиране правят Go двоичните файлове още по-трудни за обратно проектиране и анализ.

Докато много инструменти за обратно инженерство са добре оборудвани за анализ на двоични файлове, компилирани от C или C ++, базирани на Go двоични файлове все още представляват нови предизвикателства за инженерите по обратната технология. Това поддържа нивата на откриване на зловреден софтуер Golang особено ниски.

Go-базирани зловреден софтуер и атакуващи вектори

Преди 2019 г. засичането на зловреден софтуер, написан в Go, може да е било рядко, но през последните години се наблюдава непрекъснат ръст на неприятните щамове, базирани на go.

Изследовател на зловреден софтуер е открил около 10 700 уникални щама на зловреден софтуер, написани в Go in the wild. Най-разпространените от тях са RATs и backdoors, но през последните месеци видяхме и много коварни рансъмуери, написани в Go.

ElectroRAT

Един такъв крадец на информация, написан на Golang, е изключително натрапчивият ElectroRAT. Въпреки че наоколо има много от тези гадни кражби на информация, това, което го прави по-коварен, е как се насочва към множество операционни системи.

Кампанията ElectroRAT, открита през декември 2020 г., включва крос-платформен Go-базиран зловреден софтуер, който има арсенал от порочни възможности, споделени от неговия вариант Linux, macOS и Windows.

Този зловреден софтуер е способен да регистрира ключове, да прави екранни снимки, да качва файлове от дискове, да изтегля файлове и да изпълнява команди, освен крайната си цел да източи портфейлите на криптовалутата.

Свързани: Златен софтуер ElectroRAT, насочен към портфейли за криптовалута

Обширната кампания, за която се смята, че остава неоткрита в продължение на една година, включва още по-сложни тактики.

Последното включва създаване на фалшив уебсайт и фалшиви акаунти в социални медии, създаване на три отделни заразени троянски приложения, свързани с криптовалута (всяка насочени към Windows, Linux и macOS), популяризиране на опетнените приложения на крипто и блокчейн форуми като Bitcoin Talk и привличане на жертви към троянизираното приложение уеб страници.

След като потребителят изтегли и след това стартира приложението, се отваря GUI, докато зловредният софтуер се прониква във фонов режим.

RobbinHood

Това зловещ рансъмуер направи заглавия през 2019 г., след като осакати град на компютърните системи на Балтимор.

Киберпрестъпниците зад щама на Robbinhood поискаха 76 000 долара за дешифриране на файловете. Правителствените системи са били прехвърлени офлайн и са били в експлоатация почти месец и според съобщенията градът е похарчил първоначални 4,6 милиона долара за възстановяване на данните в засегнатите компютри.

Щетите, дължащи се на загуба на приходи, може да са стрували на града повече - до 18 милиона долара според други източници.

Първоначално кодиран в езика за програмиране Go, рансъмуерът Robbinhood криптира данните на жертвата и след това добавя имената на файловете с компрометирани файлове с разширението .Robbinhood. След това постави изпълним файл и текстов файл на работния плот. Текстовият файл беше бележката за откуп с исканията на нападателите.

Зеброци

През 2020 г. операторът на зловреден софтуер Sofacy разработи вариант на Zebrocy, написан в Go.

Щамът се маскира като документ на Microsoft Word и се разпространява с помощта на фишинг примамки COVID-19. Работи като изтегляне, което събира данни от системата на заразения хост и след това качва тези данни на сървъра за управление и управление.

Свързани: Внимавайте за тези 8 кибер измами с COVID-19

Арсеналът Zebrocy, съставен от капкомери, задни врати и изтеглящи устройства, се използва от много години. Но неговият вариант Go е открит едва през 2019 година.

Той е разработен от подкрепяни от държавата групи за киберпрестъпност и преди това е бил насочен към министерства на външните работи, посолства и други правителствени организации.

Очаквайте още зловреден софтуер на Golang

Базираният на Go зловреден софтуер нараства популярността си и непрекъснато се превръща в език за програмиране за участници в заплахата. Способността му да се насочва към множество платформи и да остане неоткрит за дълго време го прави сериозна заплаха, заслужаваща внимание.

Това означава, че си струва да се подчертае, че трябва да вземете основни предпазни мерки срещу злонамерен софтуер. Не кликвайте върху подозрителни връзки или изтегляйте прикачени файлове от имейли или уебсайтове, дори ако те идват от вашето семейство и приятели (които може вече да са заразени).

Може ли киберсигурността да продължава? Бъдещето на зловредния софтуер и антивирусната програма

Зловредният софтуер непрекъснато се развива, принуждавайки разработчиците на антивирусни програми да поддържат темпото. Безфайловият зловреден софтуер например по същество е невидим - така как можем да се защитим срещу него?

За автора