三年內(nèi)使用Go編寫的惡意軟件暴漲至2000%

網(wǎng)絡(luò)安全公司Intezer發(fā)布一份報(bào)告稱，自2017年以來，使用Go編程語言編碼的惡意軟件數(shù)量急劇增加了2，000%左右。此外，還突顯出惡意軟件生態(tài)系統(tǒng)的總體趨勢(shì)：惡意軟件開發(fā)人員已逐漸從C和C ++轉(zhuǎn)向Go（Go語言是由Google在2007年開發(fā)和發(fā)布的編程語言）。

雖然在2012年才發(fā)現(xiàn)了第一個(gè)基于Go的惡意軟件，但是Go是在近幾年的時(shí)間里才逐漸在惡意軟件中流行的。Intezer在其報(bào)告中說：“在2019年之前，發(fā)現(xiàn)用Go編寫的惡意軟件的情況很少見，但在2019年則變成了普遍現(xiàn)象?！倍诮裉?，Go（通常也被稱為Golang）已經(jīng)不斷突破并被廣泛采用。黑客甚至安全團(tuán)隊(duì)都使用它，他們經(jīng)常使用它來創(chuàng)建滲透測(cè)試工具包。

惡意軟件選擇Go的主要原因有三個(gè)：

首先是Go支持跨平臺(tái)編譯。這讓惡意軟件開發(fā)人員可以只編寫一次代碼，并從同一代碼庫中編譯出多個(gè)平臺(tái)的二進(jìn)制文件，包括Windows，Mac和Linux，這是很多編程語言通常所不具備的多功能性。

第二個(gè)原因是安全研究人員仍然很難對(duì)基于Go的二進(jìn)制文件進(jìn)行分析和逆向工程，這使得基于Go語言編寫的惡意程序檢出率一直很低。

第三個(gè)原因與Go支持使用網(wǎng)絡(luò)數(shù)據(jù)包和請(qǐng)求工作有關(guān)。Intezer解釋：“Go具有編寫良好的網(wǎng)絡(luò)棧，易于使用。Go已經(jīng)成為云的編程語言之一，很多云原生應(yīng)用都是用它編寫的。例如，Docker，Kubernetes，InfluxDB，Traefik，Terraform，CockroachDB，Prometheus和Consul都是用Go編寫的。因此，創(chuàng)建Go的原因之一就是希望發(fā)明一種更好的語言來代替Google內(nèi)部使用C ++網(wǎng)絡(luò)服務(wù)，因此是很有說服力的。”

由于惡意軟件通常會(huì)一直篡改，組裝或發(fā)送/接收網(wǎng)絡(luò)數(shù)據(jù)包，因此Go為惡意軟件開發(fā)人員提供了所需的所有工具，這些很容易看出為什么許多惡意軟件開發(fā)者為此放棄了C和C ++。這三個(gè)原因也是為什么在2020年會(huì)觀察到如此比以往更多的Go語言惡意軟件的主要原因。

Intezer說：“這些惡意軟件中有許多是針對(duì)Linux和IoT設(shè)備的僵尸網(wǎng)絡(luò)，它們可以安裝加密礦工或?qū)⑹芨腥镜臋C(jī)器注冊(cè)到DDoS僵尸網(wǎng)絡(luò)中。

在2020年看到的一些最大和最流行的基于Go的威脅的例子包括：

（1） Nation-state APT malware：

Zebrocy—俄羅斯黑客組織APT28去年為其Zebrocy惡意軟件創(chuàng)建了一個(gè)基于Go的版本。

WellMess —俄羅斯黑客組織APT29去年部署了其基于Go的WellMess惡意軟件的新升級(jí)版本。

（2）

E-crime malware：

GOSH —Carbanak 組織在去年 8 月部署了一個(gè)用 Go 編寫的名為 GOSH 的新 RAT。

Glupteba —2020 年出現(xiàn)了新版本的 Glupteba loader，比以往任何時(shí)候都先進(jìn)。

Bitdefender —看到了一個(gè)針對(duì)運(yùn)行 Oracle WebLogic 的 Linux 服務(wù)器的新 RAT。

CryptoStealer.Go —2020 年出現(xiàn)了新的改進(jìn)版 CryptoStealer.Go 惡意軟件，此惡意軟件的目標(biāo)是加密貨幣錢包和瀏覽器密碼。

此外，在 2020 年還發(fā)現(xiàn)了一個(gè)用 Go 語言編寫的 clipboard stealer。

（3） Go編寫的新勒索軟件病毒：

RobbinHood

Nefilim

EKANS

根據(jù)報(bào)告顯示，Intezer預(yù)計(jì)Go的使用在未來幾年中還會(huì)持續(xù)增長，并與C，C ++和Python一起，成為編碼惡意軟件的首選編程語言。

本文翻譯自：

https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/
責(zé)編AJX