Mit kell tudni a Golang-alapú rosszindulatú programokról

A Golang számos rosszindulatú program-fejlesztő számára a választott programozási nyelvvé válik. Az Intezer kiberbiztonsági cég szerint 2017 óta csaknem 2000 százalékkal nőtt a vadonban talált Go-alapú rosszindulatú program-törzsek száma.

Az ilyen típusú rosszindulatú programokat használó támadások száma az elkövetkező néhány évben várhatóan nőni fog. A legriasztóbb az, hogy sok fenyegetett szereplőt látunk, akik több operációs rendszert is megcéloznak egyetlen Go kódbázis törzsével.

Itt van minden más, amit tudnia kell erről a kialakuló fenyegetésről.

Mi az a Golang?

A Go (más néven Golang) egy nyílt forráskódú programozási nyelv, amely még viszonylag új. Robert Griesemer, Rob Pike és Ken Thompson fejlesztette ki a Google-nál 2007-ben, bár hivatalosan csak 2009-ben mutatták be a nyilvánosság számára.

A C ++ és a Java alternatívájaként fejlesztették ki. A cél az volt, hogy olyan dolgot hozzanak létre, amely egyszerűen használható és könnyen olvasható a fejlesztők számára.

Összefüggő: Tanulja meg az Android nyelvét ezzel a Google Go fejlesztői képzéssel

Miért használják a számítógépes bűnözők a Golangot?

A vadonban manapság ezernyi Golang-alapú rosszindulatú program található. Mind az állam által támogatott, mind pedig az állam által nem támogatott hacker bandák számos törzs előállítására használták, köztük távoli hozzáférésű trójai programokat (RAT), lopókat, érmebányászokat és botneteket.

Az ilyen típusú rosszindulatú programok rendkívül hatásossá teszik a Windows, a MacOS és a Linux megcélzását ugyanazon kódbázis használatával. Ez azt jelenti, hogy egy rosszindulatú program-fejlesztő egyszer írhat kódot, majd ezt az egyetlen kódbázist használhatja bináris fájlok összeállításához több platformra. A statikus összekapcsolás segítségével egy fejlesztő által Linuxra írt kód futtatható Mac vagy Windows rendszeren.

Láttunk olyan go-alapú kriptobányászokat, amelyek mind a Windows, mind a Linux gépeket megcélozzák, valamint több platformos kriptovaluta-lopókat is trójai alkalmazásokkal, amelyek MacOS, Windows és Linux eszközökön futnak.

Ezen sokoldalúságon kívül a Go-ban írt törzsek is nagyon lopakodóknak bizonyultak.

Sokan be vannak szűrve a rendszerbe észlelés nélkül, főleg azért, mert a Go-ban írt kártevő nagy. A statikus összekapcsolás miatt a Go bináris fájljai viszonylag nagyobbak a többi nyelvéhez képest. Számos víruskereső szoftver nem rendelkezik ilyen terjedelmes fájlok beolvasására.

Ráadásul a legtöbb vírusirtó számára nehezebb megtalálni a gyanús kódot a Go bináris fájlban, mivel ezek sokkal másabbak egy hibakereső alatt, mint a többi, több mainstream nyelven írt.

Nem segít abban, hogy ennek a programozási nyelvnek a szolgáltatásai még nehezebbé teszik a Go bináris fájlok visszafejtését és elemzését.

Míg sok reverz mérnöki eszköz jól felszerelt a C vagy C ++ -ból összeállított bináris fájlok elemzésében, a Go-alapú binárisok még mindig új kihívásokat jelentenek a reverz mérnökök számára. Ez különösen alacsony szinten tartotta a Golang malware észlelési arányát.

Go-alapú rosszindulatú programok és támadási vektorok

2019 előtt előfordulhat, hogy a Go-ban írt rosszindulatú programok észlelése ritka, de az elmúlt években folyamatosan nőtt a csúnya, go-alapú malware-törzsek száma.

Malware kutató körülbelül 10 700 egyedi kártevő törzset talált, amelyek a Go in the wild-ben íródtak. Ezek közül a legelterjedtebbek a RAT-ok és a hátsó ajtók, de az elmúlt hónapokban nagyon sok alattomos ransomware-t is láthattunk a Go-ban.

ElectroRAT

Az egyik ilyen, Golangban írt információ-lopó a rendkívül tolakodó ElectroRAT. Bár sok ilyen csúnya információ-lopó van a környéken, az alattomosabbá teszi ezt, hogy több operációs rendszert céloz meg.

A 2020 decemberében felfedezett ElectroRAT kampány platformokon átívelő Go alapú rosszindulatú programokat tartalmaz, amelyek Linux, macOS és Windows változata által megosztott gonosz képességek arzenáljával rendelkeznek.

Ez a rosszindulatú program képes kulcsnyilvántartásra, képernyőképek készítésére, fájlok feltöltésére lemezekről, fájlok letöltésére és parancsok végrehajtására, eltekintve a kriptovaluta pénztárcák lemerítésének végső céljától.

Összefüggő: ElectroRAT Malware Célzás Kriptopénz Pénztárcák

A kiterjedt kampány, amelyről azt hitték, hogy egy évig felderítetlen maradt, még bonyolultabb taktikákat tartalmazott.

Ez utóbbi magában foglalta hamis weboldal és hamis közösségi médiafiókok létrehozását, három különálló, kriptovalutával kapcsolatos trójai fertőzött alkalmazás létrehozását (mindegyik célzó Windows, Linux és macOS), a szennyezett alkalmazások népszerűsítése olyan kripto- és blokkláncfórumokon, mint a Bitcoin Talk, és az áldozatok csalogatása weboldalak.

Amint a felhasználó letölti, majd futtatja az alkalmazást, megnyílik egy GUI, miközben a rosszindulatú programok behatolnak a háttérben.

RobbinHood

Ez baljós ransomware 2019-ben került a címlapokra, miután megbénította Baltimore városának számítógépes rendszereit.

A Robbinhood-törzs mögött álló kiberbűnözők 76 000 dollárt követeltek a fájlok visszafejtésére. A kormány rendszereit offline állapotban és üzemen kívül helyezték szinte egy hónapig, és a város állítólag kezdeti 4,6 millió dollárt költött az érintett számítógépek adatainak helyreállítására.

A bevételkiesés miatti károk többe kerülhetnek a városnak - más források szerint 18 millió dollárig.

Az eredetileg a Go programozási nyelven kódolt Robbinhood ransomware titkosította az áldozat adatait, majd a .Robbinhood kiterjesztéssel csatolta a sérült fájlok fájlneveit. Ezután egy futtatható fájlt és szöveges fájlt helyezett el az asztalon. A szöveges fájl a váltságdíjas jegyzet volt a támadók követeléseivel.

Zebrocy

2020-ban a Sofacy kártevő-üzemeltető kifejlesztett egy Zebrocy-változatot, amelyet a Go-ban írtak.

A törzset Microsoft Word dokumentumnak álcázta és COVID-19 adathalász csalik segítségével terjesztették. Letöltőként működött, amely adatokat gyűjtött a fertőzött gazdagép rendszeréből, majd ezeket az adatokat feltöltötte a parancs-vezérlő kiszolgálóra.

Összefüggő: Vigyázz ezekre a 8 COVID-19 számítógépes csalásra

A Zebrocy arzenál, amely csepegtetőkből, hátsó ajtókból és letöltőkből áll, hosszú évek óta használatos. De a Go változatát csak 2019-ben fedezték fel.

Az állam által támogatott számítógépes bűnözéssel foglalkozó csoportok fejlesztették ki, és korábban a külügyminisztériumokat, a nagykövetségeket és más kormányzati szervezeteket célozta meg.

További Golang malware a jövőben

A go-alapú rosszindulatú programok egyre népszerűbbek, és folyamatosan válnak a fenyegetés szereplőinek programozási nyelvévé. Az a képessége, hogy több platformot céloz meg és hosszú ideig észrevétlen marad, komoly figyelemre méltó fenyegetést jelent.

Ez azt jelenti, hogy érdemes kiemelni, hogy alapvető óvintézkedéseket kell tennie a rosszindulatú programok ellen. Ne kattintson semmilyen gyanús linkre, és ne töltsön le mellékleteket e-mailekből vagy webhelyekről - még akkor sem, ha azok a családjától és a barátaitól származnak (akik esetleg már fertőzöttek).

A kiberbiztonság képes lépést tartani? A rosszindulatú programok és a víruskereső programok jövője

A rosszindulatú programok folyamatosan fejlődnek, és a víruskereső fejlesztőket a tempó fenntartására kényszerítik. A fájl nélküli rosszindulatú programok például lényegében láthatatlanok - akkor hogyan védekezhetünk ellene?

A szerzőről