Kaj morate vedeti o zlonamerni programski opremi na osnovi Golanga

Golang postaja izbirni programski jezik za številne razvijalce zlonamerne programske opreme. Po navedbah podjetja za kibernetsko varnost Intezer se je od leta 2017 v naravi v naravi našlo skoraj 2000-odstotno število zlonamerne programske opreme na osnovi Go.

Število napadov s tovrstno zlonamerno programsko opremo naj bi se v naslednjih nekaj letih povečalo. Najbolj zaskrbljujoče je, da opažamo številne akterje groženj, ki ciljajo na več operacijskih sistemov s sevi iz ene kode Go.

Tu je še vse, kar morate vedeti o tej nastajajoči grožnji.

Kaj je Golang?

Go (alias Golang) je odprtokodni programski jezik, ki je še vedno razmeroma nov. Leta 2007 so ga pri Googlu razvili Robert Griesemer, Rob Pike in Ken Thompson, čeprav je bil uradno predstavljen javnosti šele leta 2009.

Razvit je bil kot alternativa C ++ in Javi. Cilj je bil ustvariti nekaj, kar je enostavno za delo in enostavno branje za razvijalce.

Sorodno: Naučite se jezika Android s tem usposabljanjem za razvijalce za Google Go

Zakaj kibernetski kriminalci uporabljajo Golang?

Danes je v naravi na tisoče zlonamerne programske opreme, ki temelji na Golangu. Tako hekerske tolpe, ki jih sponzorirajo država in jih ne sponzorira država, ga uporabljajo za proizvodnjo vrste sevov, vključno s trojanci na daljavo (RAT), krajniki, rudarji kovancev in številnimi drugimi.

Zaradi te vrste zlonamerne programske opreme je zelo močan način, na katerega lahko cilja na Windows, macOS in Linux z isto kodno bazo. To pomeni, da lahko razvijalec zlonamerne programske opreme enkrat napiše kodo in nato to enotno kodno osnovo uporabi za sestavljanje binarnih datotek za več platform. Z uporabo statične povezave se lahko koda, ki jo je napisal razvijalec za Linux, izvaja v sistemih Mac ali Windows.

Videli smo kriptokopalnike, ki temeljijo na go in ciljajo na stroje z operacijskim sistemom Windows in Linux, pa tudi na večplastne kraje kriptovalut s trojanskimi aplikacijami, ki se izvajajo v napravah macOS, Windows in Linux.

Poleg te vsestranskosti so se tudi sevi, napisani v programu Go, izkazali za zelo prikrite.

Mnogi so vdrli v sisteme brez zaznavanja, predvsem zato, ker je zlonamerna programska oprema, napisana v programu Go, velika. Tudi zaradi statične povezave so binarne datoteke v Goju relativno večje v primerjavi z drugimi v drugih jezikih. Številne storitve protivirusne programske opreme niso opremljene za skeniranje tako zajetnih datotek.

Poleg tega je za večino protivirusnih programov težje najti sumljivo kodo v binarni datoteki Go, saj so pod razhroščevalnikom v primerjavi z drugimi, napisanimi v bolj običajnih jezikih, videti precej drugače.

Ne pomaga, da funkcije tega programskega jezika otežujejo dvojiške binarne datoteke Go, da jih lahko inženirjijo in analizirajo.

Medtem ko so številna orodja za obratni inženiring dobro opremljena za analizo binarnih datotek, sestavljenih iz C ali C ++, dvojiške datoteke, ki temeljijo na Go, še vedno predstavljajo nove izzive za inženirje obratnih sistemov. Zaradi tega je bila stopnja zaznavanja zlonamerne programske opreme Golang še posebej nizka.

Go-Based zlonamerna programska oprema in napadalni vektorji

Pred letom 2019 je bilo opazovanje zlonamerne programske opreme, napisane v Go, redko, v zadnjih letih pa se nenehno povečuje število zlonamernih programov, ki temeljijo na go.

Raziskovalec zlonamerne programske opreme je našel okoli 10.700 edinstvenih sevov zlonamerne programske opreme, napisanih v Go in the wild. Med njimi so najpogostejši RAT-i in zakulisja, v zadnjih mesecih pa smo v Goju videli tudi veliko zahrbtne odkupne programske opreme.

ElectroRAT

Takšen kradec informacij, napisan v Golangu, je izredno vsiljiv ElectroRAT. Čeprav je naokoli veliko teh grdih kradnikov informacij, je ta bolj zahrbten, kako cilja na več operacijskih sistemov.

Kampanja ElectroRAT, odkrita decembra 2020, vključuje zlonamerno programsko opremo, ki temelji na platformi Go in ima arzenal hudih zmogljivosti, ki jih delijo različice Linux, macOS in Windows.

Ta zlonamerna programska oprema je zmožna zapisovati ključe, snemati posnetke zaslona, ​​nalagati datoteke z diskov, prenašati datoteke in izvrševati ukaze, razen končnega cilja izpraznitve denarnic za kriptovalute.

Sorodno: Zlonamerna programska oprema ElectroRAT, ki cilja na denarnice s kriptovalutami

Obsežna kampanja, ki naj bi eno leto ostala neopažena, je vključevala še bolj dodelano taktiko.

Slednje je vključevalo ustvarjanje lažnega spletnega mesta in lažnih računov v družabnih omrežjih ter ustvarjanje treh ločenih aplikacij, okuženih s trojanskimi programi, povezanih s kriptovaluto (vsaka ciljanje na Windows, Linux in macOS), promoviranje umazanih aplikacij na kripto in blockchain forumih, kot je Bitcoin Talk, in privabljanje žrtev na trojanizirano aplikacijo spletne strani.

Ko uporabnik prenese in zažene aplikacijo, se odpre GUI, medtem ko se zlonamerna programska oprema infiltrira v ozadje.

RobbinHood

To zlovešča odkupnina je leta 2019 prišel na naslovnice, potem ko je onesposobil mesto računalniških sistemov Baltimoreja.

Kiber kriminalci, ki stojijo za sevom Robbinhood, so za dešifriranje datotek zahtevali 76.000 USD. Vladni sistemi so bili skoraj mesec dni brez povezave in so bili v obratovanju, mesto pa naj bi porabilo začetnih 4,6 milijona dolarjev za obnovitev podatkov v prizadetih računalnikih.

Škoda zaradi izgube prihodkov je mesto morda stala več - po drugih virih do 18 milijonov dolarjev.

Prvotno kodirano v programskem jeziku Go, je izsiljevalska programska oprema Robbinhood šifrirala podatke žrtve in nato dodala imena ogroženih datotek s pripono .Robbinhood. Nato je na namizje postavil izvršljivo datoteko in besedilno datoteko. Besedilna datoteka je bila opomin z zahtevami napadalcev.

Zebrocy

Leta 2020 je operater zlonamerne programske opreme Sofacy razvil različico Zebrocy, ki je napisana v Go.

Sev je bil zamišljen kot dokument Microsoft Word in je bil razširjen z uporabo COVID-19 phishing vab. Deloval je kot prenosnik, ki je zbiral podatke iz sistema okuženega gostitelja in jih nato nalagal na ukazno-nadzorni strežnik.

Sorodno: Pazite na teh 8 COVID-19 kibernetskih prevar

Arzenal Zebrocy, sestavljen iz kapaljk, zakulisnih prostorov in prenosnikov, je v uporabi že vrsto let. Toda njegova različica Go je bila odkrita šele leta 2019.

Razvile so ga skupine za kibernetski kriminal, ki jih podpira država, v preteklosti pa so bile usmerjene na ministrstva za zunanje zadeve, veleposlaništva in druge vladne organizacije.

V prihodnosti bo prišlo še več zlonamerne programske opreme Golang

Zlonamerna programska oprema, ki temelji na Go, narašča in postaja nenehni programski jezik za akterje groženj. Njegova sposobnost ciljanja na več platform in dolgo časa, da ostanejo neopaženi, je resna grožnja, vredna pozornosti.

To pomeni, da je vredno poudariti, da morate sprejeti osnovne varnostne ukrepe proti zlonamerni programski opremi. Ne klikajte sumljivih povezav in ne prenašajte prilog z e-pošte ali spletnih mest - tudi če prihajajo od vaše družine in prijateljev (ki so morda že okuženi).

Ali lahko kibernetska varnost sledi? Prihodnost zlonamerne programske opreme in protivirusnih programov

Zlonamerna programska oprema se nenehno razvija in prisili razvijalce protivirusnih programov, da ohranjajo tempo. Zlonamerna programska oprema brez datotek je na primer v bistvu nevidna - kako se torej lahko zaščitimo pred njo?

O avtorju