*** 安全公司Intezer 发布了威胁行为者在 2020 年使用 的报告Go 恶意软件的情况。跃多年的恶意软件和从未公开报道的恶意软件的代码连接和 IoC 的分析。
该报告指出,自2017年以来, 已被使用Go 编程语言编码的恶意软件菌株数量在过去几年中急剧增加了约200% 。这一发现突出并证实了恶意软件生态系统的一般趋势,即恶意软件作者已慢慢从 C 和 C 转向 Go。
之一个基于 Go 恶意软件发现于2012年 ,这几年后,Go 在恶意软件领域很受欢迎。报告指出,在 2019 年之前,发现使用 Go 编写的恶意软件更多的是一种罕见的现象,而在 2019一种日常现象。Go恶意软件已广泛使用 语言。国家黑客组织( APT)、 *** 犯罪操作员甚至安全团队都在使用这种语言,并经常使用它来创建渗透测试工具包。
而 Golang 出现这种情况的原因“人气”突然增加的主要原因有三个。首先是 Go 支持跨平台编译的简单流程;这使得恶意软件开发者可以从同一代码库中编译多个平台的二进制文件,只需编写一次代码,使其能够针对 Windows、Mac 和 Linux,许多其他编程语言通常都没有这种多功能性。
第二个原因是基于 Go 的二进制文件仍难以被安全研究人员分析和逆向工程,这使得基于 Go 恶意软件的检出率一直很低。第三个原因是 Go 支持 *** 数据包和要求工作。Intezer 解释称:
- "Go *** 堆栈写得好,操作方便。Go 已经成为云计算的编程语言之一,很多云原生应用都是用它编写的。例如,Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus 和 Consul 都是用 Go 写作。考虑创建 Go 之所以发明一种更好的语言来代替 Google 使用的内部 C *** 服务,所以这是合理的。"
由于恶意软件菌株通常会篡改、组装或发送/接收 *** 数据包,Go 为恶意软件开发人员提供了他们在一个地方需要的所有工具,这很容易理解为什么许多恶意软件编码人员放弃 C 和 C 使用它。
Intezer 指出很多恶意软件(家族)都是针对 的Linux 和物联网设备的僵尸 *** ,可以安装加密矿机或添加感染的机器 DDoS 僵尸 *** 。另外,使用 Go 编写的勒索软件似乎越来越普遍。
在 2020 年看到的一些更大、更受欢迎的基于 Go 威胁的例子包括(每个类别):
Nation-state APT malware:
- Zebrocy- 俄罗斯 *** 资助的组织 APT28 去年为此 Zebrocy 恶意软件基于 Go 的版本。
- WellMess- 俄罗斯 *** 资助的组织 APT29去年部署了 Go 的 WellMess 恶意软件新升级版。
E-crime malware:
- GOSH - Carbanak去年8月, 组织部署了一个 Go 写的名字叫 GOSH 的新 RAT。
- Glupteba - 2020年出现了新版 Glupteba loader,比以往任何时候都先进。
- Bitdefender 看到一个操作 Oracle WebLogic 的 Linux新 服务器RAT。
- CryptoStealer.Go - 2020年出现了新的改进版 CryptoStealer.Go 恶意软件的目标是加密货币钱包和浏览器密码。
另外,在 2020 年还发现了一种用 Go 语言编写 clipboard stealer。
基于 Go 编写的新勒索软件菌株:
- RobbinHood
- Nefilim
- EKANS
鉴于其最近的发现,Intezer 与其他公司合作,预计 Golang 的利用率将在未来几年继续上升,并与 一起C、C 和 Python共同成为未来恶意软件编码的首选编程语言。
本文转自OSCHINA
标题:基于 Go 编写的恶意软件数量激增 2000%
本文地址:https://www.oschina.net/news/131384/go-malware-2020