Golang er ved at blive det valgte programmeringssprog for mange malwareudviklere. Ifølge cybersikkerhedsfirmaet Intezer har der været en næsten 2000 procent stigning i antallet af Go-baserede malware-stammer fundet i naturen siden 2017.
Antallet af angreb, der bruger denne type malware, forventes at stige i de næste par år. Det mest alarmerende er, at vi ser mange trusselsaktører, der målretter mod flere operativsystemer med stammer fra en enkelt Go-kodebase.
Her er alt andet, du har brug for at vide om denne nye trussel.
Hvad er Golang?
Go (aka Golang) er et open source programmeringssprog, der stadig er relativt nyt. Det blev udviklet af Robert Griesemer, Rob Pike og Ken Thompson hos Google i 2007, selvom det først blev officielt introduceret til offentligheden i 2009.
Det blev udviklet som et alternativ til C ++ og Java. Målet var at skabe noget, der er ligetil at arbejde med og let at læse for udviklere.
Relaterede: Lær Android-sproget med denne Google Go-udvikleruddannelse
Hvorfor bruger cyberkriminelle Golang?
Der er tusindvis af Golang-baseret malware i naturen i dag. Både statssponserede og ikke-statssponserede hacking-bander har brugt det til at producere et væld af stammer, herunder Remote Access Trojans (RAT'er), stjælere, møntminearbejdere og botnet blandt mange andre.
Hvad der gør denne type malware ekstra potent er den måde, den kan målrette mod Windows, macOS og Linux ved hjælp af den samme codebase. Dette betyder, at en malwareudvikler kan skrive kode en gang og derefter bruge denne enkelt kodebase til at kompilere binære filer til flere platforme. Ved hjælp af statisk sammenkædning kan en kode skrevet af en udvikler til Linux køre på Mac eller Windows.
Hvad #Golang er mest brugt til#programmering#kodning#kode#ev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode#WomenWhoCodepic.twitter.com/Fv8v5v8Gd5
- kuka0len (@ kuka0len) 15. februar 2021
Vi har set go-baserede crypto minearbejdere, der er målrettet mod både Windows- og Linux-maskiner samt kryptovaluta-stjælere med flere platforme med trojanske apps, der kører på macOS-, Windows- og Linux-enheder.
Bortset fra denne alsidighed har stammer skrevet i Go også vist sig at være meget snigende.
Mange har infiltreret systemer uden detektion, hovedsageligt fordi malware skrevet i Go er stort. Også på grund af statisk sammenkædning er binærfiler i Go relativt større sammenlignet med andre sprog. Mange antivirussoftwaretjenester er ikke udstyret til at scanne filer så omfangsrige.
Desuden er det sværere for de fleste antivirusprogrammer at finde mistænkelig kode i Go-binær, da de ser meget anderledes ud under en debugger sammenlignet med andre skrevet på mere almindelige sprog.
Det hjælper ikke, at funktionerne i dette programmeringssprog gør Go-binærfiler stadig sværere at reverse engineering og analysere.
Mens mange reverse engineering-værktøjer er veludstyrede til at analysere binære filer, der er udarbejdet fra C eller C ++, er Go-baserede binære filer stadig nye udfordringer for reverse engineer. Dette har holdt opdagelsesraterne for Golang malware markant lave.
Go-Based Malware-stammer og Attack-vektorer
Før 2019 har spotting af malware skrevet i Go muligvis været sjældent, men i de seneste år har der været en jævn stigning i grimme go-baserede malware-stammer.
En malware-forsker har fundet omkring 10.700 unikke malware-stammer skrevet i Go in the wild. Den mest udbredte af disse er RAT'er og bagdøre, men i de seneste måneder har vi også set en hel del snigende ransomware skrevet i Go.
ElectroRAT
Operation #ElectroRAT
- Intezer (@IntezerLabs) 5. januar 2021
Allerede tusinder af krypto-tegnebøger stjålet. Omfattende kampagne inkluderer skrevet fra bunden RAT skjult i trojaniserede applikationer.
Windows-, Linux- og macOS-prøver blev ikke opdaget i VirusTotalhttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r
En sådan infostjæler skrevet i Golang er den ekstremt påtrængende ElectroRAT. Mens der er mange af disse grimme infostjæle rundt, hvad der gør denne her snigende er, hvordan den retter sig mod flere operativsystemer.
ElectroRAT-kampagnen, der blev opdaget i december 2020, har Go-baseret malware på tværs af platforme, der har et arsenal af onde muligheder, der deles af sin Linux-, macOS- og Windows-variant.
Denne malware er i stand til keylogging, tager skærmbilleder, uploader filer fra diske, downloader filer og udfører kommandoer bortset fra sit ultimative mål om at dræne cryptocurrency-tegnebøger.
Relaterede: ElectroRAT Malware målrettet mod kryptovaluta tegnebøger
Den omfattende kampagne, der menes at have været uopdaget i et år, involverede endnu mere udførlige taktikker.
Sidstnævnte omfattede oprettelse af et falsk websted og falske sociale mediekonti, oprettelse af tre separate trojaninficerede apps relateret til kryptokurrency (hver målretning mod Windows, Linux og macOS), promovering af de beskadigede apps på krypto- og blockchain-fora som Bitcoin Talk og lokke ofre til den trojaniserede apps web sider.
Når en bruger har downloadet og derefter kører appen, åbnes en GUI, mens malware infiltrerer i baggrunden.
RobbinHood
Det her uhyggelig ransomware fik overskrifter i 2019 efter at have lammet byen Baltimores computersystemer.
Cyberkriminelle bag Robbinhood-stammen krævede $ 76.000 for at dekryptere filerne. Regeringens systemer blev leveret offline og ude af drift i næsten en måned, og byen brugte angiveligt $ 4,6 millioner til at gendanne dataene på de berørte computere.
Skader som følge af tab af indtægter kan have kostet byen mere - op til $ 18 millioner ifølge andre kilder.
Oprindeligt kodet i Go-programmeringssprog krypterede Robbinhood ransomware offerets data og tilføjede derefter filnavne på kompromitterede filer med .Robbinhood-udvidelsen. Derefter placerede den en eksekverbar fil og tekstfil på skrivebordet. Tekstfilen var en løsesumnote med angribernes krav.
Zebrocy
# Apt28
- blackorbird (@blackorbird) 4. juni 2019
Zebrocy's Multilanguage Malware Salathttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY
I 2020 udviklede malwareoperatøren Sofacy en Zebrocy-variant, der er skrevet i Go.
Stammen maskerede som et Microsoft Word-dokument og blev spredt ved hjælp af COVID-19 phishing-lokker. Det fungerede som en downloader, der samlede data fra den inficerede værts system og derefter uploadede disse data til kommando-og-kontrol-serveren.
Relaterede: Hold øje med disse 8 COVID-19 cyber-svindel
Zebrocy-arsenalet, der består af droppere, bagdøre og downloadere, har været i brug i mange år. Men Go-varianten blev først opdaget i 2019.
Det blev udviklet af statsstøttede cyberkriminalitetsgrupper og har tidligere målrettet ministerier for udenrigsanliggender, ambassader og andre offentlige organisationer.
Mere Golang-malware, der kommer i fremtiden
Go-baseret malware stiger i popularitet og bliver løbende go-to programmeringssprog for trusselsaktører. Dens evne til at målrette mod flere platforme og forblive uopdaget i lang tid gør det til en alvorlig trussel, der er opmærksom.
Det betyder, at det er værd at fremhæve, at du skal tage grundlæggende forholdsregler mod malware. Klik ikke på mistænkelige links eller download vedhæftede filer fra e-mails eller websteder - selvom de kommer fra din familie og venner (som muligvis allerede er inficeret).
Malware udvikler sig konstant og tvinger antivirusudviklere til at opretholde tempoet. Fileløs malware er for eksempel i det væsentlige usynlig - så hvordan kan vi forsvare os mod det?
- Sikkerhed
- Onlinesikkerhed
- Malware
Loraine har skrevet i magasiner, aviser og hjemmesider i 15 år. Hun har en kandidatgrad i anvendt medieteknologi og en stor interesse for digitale medier, sociale mediestudier og cybersikkerhed.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.