Co musisz wiedzieć o złośliwym oprogramowaniu opartym na Golang

Golang staje się językiem programowania wybieranym przez wielu twórców złośliwego oprogramowania. Według firmy Intezer zajmującej się cyberbezpieczeństwem od 2017 r. Odnotowano prawie 2000-procentowy wzrost liczby szczepów złośliwego oprogramowania opartego na Go.

Oczekuje się, że liczba ataków przy użyciu tego typu złośliwego oprogramowania wzrośnie w ciągu najbliższych kilku lat. Najbardziej niepokojące jest to, że widzimy wielu aktorów zagrożeń, którzy atakują wiele systemów operacyjnych i wykorzystują szczepy z jednej bazy kodu Go.

Oto wszystko, co musisz wiedzieć o tym wyłaniającym się zagrożeniu.

Co to jest Golang?

Go (a.k.a. Golang) to język programowania typu open source, który jest wciąż stosunkowo nowy. Został opracowany przez Roberta Griesemera, Roba Pike'a i Kena Thompsona w Google w 2007 roku, chociaż oficjalnie został zaprezentowany publicznie dopiero w 2009 roku.

Został opracowany jako alternatywa dla C ++ i Java. Celem było stworzenie czegoś prostego w obsłudze i czytelnego dla programistów.

Związane z: Naucz się języka Androida dzięki temu szkoleniu dla programistów Google Go

Dlaczego cyberprzestępcy używają Golang?

Obecnie na wolności istnieją tysiące złośliwego oprogramowania opartego na Golangu. Zarówno sponsorowane przez państwo, jak i niepaństwowe gangi hakerskie wykorzystywały go do tworzenia wielu różnych odmian, w tym między innymi trojanów zdalnego dostępu (RAT), złodziei, kopaczy monet i botnetów.

To, co sprawia, że ​​ten typ złośliwego oprogramowania jest wyjątkowo skuteczny, to sposób, w jaki może atakować systemy Windows, macOS i Linux przy użyciu tej samej bazy kodu. Oznacza to, że twórca złośliwego oprogramowania może raz napisać kod, a następnie użyć tej pojedynczej bazy kodu do kompilacji plików binarnych dla wielu platform. Korzystając z linkowania statycznego, kod napisany przez programistę dla systemu Linux może działać na komputerach Mac lub Windows.

Widzieliśmy kopaczy kryptowalut opartych na Go, które atakują zarówno komputery z systemem Windows, jak i Linux, a także wieloplatformowych złodziei kryptowalut z aplikacjami trojańskimi działającymi na urządzeniach z systemem macOS, Windows i Linux.

Oprócz tej wszechstronności, szczepy napisane w Go okazały się również bardzo ciche.

Wiele z nich infiltrowało systemy bez wykrycia, głównie dlatego, że złośliwe oprogramowanie napisane w Go jest duże. Również ze względu na linkowanie statyczne pliki binarne w Go są stosunkowo większe w porównaniu z plikami w innych językach. Wiele usług oprogramowania antywirusowego nie jest przystosowanych do skanowania tak dużych plików.

Co więcej, większości programów antywirusowych jest trudniej znaleźć podejrzany kod w binarnym Go, ponieważ wyglądają one znacznie inaczej w debugerze w porównaniu z innymi programami napisanymi w bardziej popularnych językach.

Nie pomaga to, że funkcje tego języka programowania sprawiają, że pliki binarne Go są jeszcze trudniejsze do odtworzenia i analizy.

Chociaż wiele narzędzi do inżynierii odwrotnej jest dobrze wyposażonych w analizowanie plików binarnych skompilowanych z C lub C ++, pliki binarne oparte na Go nadal stanowią nowe wyzwanie dla inżynierów odwrotnych. Dzięki temu wskaźniki wykrywania szkodliwego oprogramowania Golang są szczególnie niskie.

Szczepy złośliwego oprogramowania opartego na Go i wektory ataku

Przed 2019 rokiem wykrywanie złośliwego oprogramowania napisanego w Go mogło być rzadkością, ale w ostatnich latach obserwuje się stały wzrost liczby złośliwych szczepów złośliwego oprogramowania opartego na go.

Badacz złośliwego oprogramowania znalazł około 10700 unikalnych szczepów złośliwego oprogramowania napisanych w Go in the wild. Najbardziej rozpowszechnionymi z nich są RAT i backdoory, ale w ostatnich miesiącach widzieliśmy również wiele podstępnych programów ransomware napisanych w Go.

ElectroRAT

Jednym z takich złodziei informacji napisanym w Golang jest niezwykle natrętny ElectroRAT. Chociaż wokół jest wielu takich paskudnych złodziei informacji, to, co sprawia, że ​​jest bardziej podstępny, to sposób, w jaki atakuje wiele systemów operacyjnych.

Kampania ElectroRAT, odkryta w grudniu 2020 r., Obejmuje wieloplatformowe złośliwe oprogramowanie oparte na Go, które ma arsenał złośliwych możliwości wspólnych dla wersji Linux, macOS i Windows.

To złośliwe oprogramowanie jest zdolne do rejestrowania kluczy, robienia zrzutów ekranu, przesyłania plików z dysków, pobierania plików i wykonywania poleceń poza jego ostatecznym celem, jakim jest opróżnienie portfeli kryptowalut.

Związane z: ElectroRAT Malware atakujące portfele kryptowalut

Rozległa kampania, która, jak się uważa, pozostawała niewykryta przez rok, wymagała jeszcze bardziej wyszukanych taktyk.

To ostatnie obejmowało stworzenie fałszywej strony internetowej i fałszywych kont w mediach społecznościowych, stworzenie trzech oddzielnych aplikacji zainfekowanych trojanem związanych z kryptowalutą (każda na systemy Windows, Linux i macOS), promowanie skażonych aplikacji na forach kryptowalut i blockchain, takich jak Bitcoin Talk, oraz wabienie ofiar do trojanizowanej aplikacji strony internetowe.

Gdy użytkownik pobierze, a następnie uruchomi aplikację, otwiera się GUI, podczas gdy złośliwe oprogramowanie infiltruje w tle.

RobbinHood

To złowrogie oprogramowanie ransomware trafił na pierwsze strony gazet w 2019 roku po sparaliżowaniu systemów komputerowych miasta Baltimore.

Cyberprzestępcy stojący za szczepem Robbinhood zażądali 76 000 dolarów na odszyfrowanie plików. Systemy rządowe zostały wyłączone i nieczynne przez prawie miesiąc, a miasto podobno wydało początkowo 4,6 miliona dolarów na odzyskanie danych z komputerów, których dotyczy problem.

Szkody spowodowane utratą dochodów mogły kosztować miasto więcej - według innych źródeł do 18 milionów dolarów.

Pierwotnie zakodowane w języku programowania Go, oprogramowanie ransomware Robbinhood zaszyfrowało dane ofiary, a następnie dodało nazwy zainfekowanych plików z rozszerzeniem .Robbinhood. Następnie umieścił plik wykonywalny i plik tekstowy na pulpicie. Plik tekstowy był żądaniem okupu z żądaniami napastników.

Zebrocy

W 2020 roku operator złośliwego oprogramowania Sofacy opracował wariant Zebrocy napisany w Go.

Odmiana podszywała się pod dokument Microsoft Word i była rozpowszechniana przy użyciu przynęt phishingowych COVID-19. Działał jako downloader, który zbierał dane z systemu zainfekowanego hosta, a następnie przesyłał je na serwer dowodzenia.

Związane z: Uważaj na te 8 oszustw cybernetycznych COVID-19

Arsenał Zebrocy, składający się z dropperów, backdoorów i downloaderów, jest używany od wielu lat. Ale jego wariant Go został odkryty dopiero w 2019 roku.

Został opracowany przez wspierane przez państwo grupy zajmujące się cyberprzestępczością i był wcześniej skierowany do ministerstw spraw zagranicznych, ambasad i innych organizacji rządowych.

Więcej złośliwego oprogramowania Golang w przyszłości

Popularność złośliwego oprogramowania opartego na Go zyskuje na popularności i stale staje się językiem programowania wykorzystywanym przez podmioty stwarzające zagrożenie. Jego zdolność do namierzania wielu platform i pozostawania niewykrytym przez długi czas sprawia, że ​​jest to poważne zagrożenie, na które warto zwrócić uwagę.

Oznacza to, że warto podkreślić, że musisz podjąć podstawowe środki ostrożności przeciwko złośliwemu oprogramowaniu. Nie klikaj żadnych podejrzanych linków ani nie pobieraj załączników z wiadomości e-mail lub witryn internetowych - nawet jeśli pochodzą one od Twojej rodziny i przyjaciół (którzy mogą już być zainfekowani).

Czy cyberbezpieczeństwo może nadążyć? Przyszłość złośliwego oprogramowania i oprogramowania antywirusowego

Złośliwe oprogramowanie stale się rozwija, co zmusza twórców oprogramowania antywirusowego do utrzymywania tempa. Na przykład złośliwe oprogramowanie bezplikowe jest zasadniczo niewidoczne - jak więc możemy się przed nim bronić?

O autorze