本文转载自微信公众号“安数 *** ”(anshunet)。
*** 安全公司Intezer报告称,自2017年以来,它已被使用Go编程语言编码的恶意软件数量急剧增加了2000%左右。此外,恶意软件生态系统的总体趋势也凸显出来:恶意软件开发人员逐渐从C和C 转向Go(Go语言是由Google编程语言于2007年开发发布)。
虽然之一个是在2012年发现的Go但是Go恶意软件近年来逐渐流行起来。Intezer报告中说:“2019年前发现使用Go恶意软件的编写很少见,但在2019年却成了普遍现象。”而在今天,Go(通常也被称为Golang)不断突破,被广泛使用。黑客甚至安全团队都使用它,他们经常使用它来创建渗透测试工具包。
恶意软件选择Go主要有三个原因:
- 首先是Go支持跨平台编译。这使得恶意软件开发人员只能编写一次代码,并从同一代码库中编译多个平台的二进制文件,包括Windows,Mac和Linux,这是许多编程语言通常没有的多功能性。
- 第二个原因是安全研究人员仍然很难基于Go基于二进制文件的分析和逆向工程Go语言编写的恶意程序检出率一直很低。
- 第三个原因和Go支持 *** 数据包的使用与要求有关。Intezer解释:“Go *** 栈写得好,使用方便。Go已经成为云的编程语言之一,很多云原生应用都是用它编写的。例如,Docker,Kubernetes,InfluxDB,Traefik,Terraform,CockroachDB,Prometheus和Consul都是用Go编写的。因此,创建Go其中一个原因是发明一种更好的语言来代替它Google内部使用C *** 服务,所以很有说服力。”
由于恶意软件通常被篡改、组装或发送/接收 *** 数据包,Go为恶意软件开发人员提供所有必要的工具,很容易看出为什么许多恶意软件开发人员放弃了它C和C Go语言恶意软件的主要原因。
Intezer说:“其中许多是针对这些恶意软件的Linux和IoT设备的僵尸 *** 可以安装加密矿工或注册感染的机器DDoS僵尸 *** 。
基于2020年更大、更受欢迎的一些Go威胁的例子包括:
(1)Nation-state APT malware:
- Zebrocy—俄罗斯黑客组织APT28去年为其Zebrocy基于恶意软件的创建Go的版本。
- WellMess —俄罗斯黑客组织APT29去年部署了它的基础Go的WellMess新升级版恶意软件。
(2)
E-crime malware:
- GOSH —Carbanak去年8月, 组织部署了一个 Go 写的名字叫 GOSH 的新 RAT。
- Glupteba —2020 年出现了新版 Glupteba loader,比以往任何时候都先进。
- Bitdefender —我看到了一个操作 Oracle WebLogic 的 Linux新 服务器RAT。
- CryptoStealer.Go —2020 年出现了新的改进版 CryptoStealer.Go 恶意软件的目标是加密货币钱包和浏览器密码。
- 另外,在 2020 年还发现了一种用 Go 语言编写 clipboard stealer。
(3)Go新的勒索软件病毒:
- RobbinHood
- Nefilim
- EKANS
根据报告,Intezer预计Go未来几年,使用将继续增长C,C 和Python编程语言成为编码恶意软件的首选。
本文翻译自:
https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/