Что нужно знать о вредоносных программах на основе Golang
Golang становится языком программирования, который выбирают многие разработчики вредоносных программ. По данным компании Intezer, занимающейся кибербезопасностью, с 2017 года количество штаммов вредоносных программ на основе Go, обнаруженных в дикой природе, увеличилось почти на 2000 процентов.
Ожидается, что в ближайшие пару лет количество атак с использованием этого типа вредоносного ПО увеличится. Больше всего тревожит то, что мы видим множество злоумышленников, которые нацелены на несколько операционных систем с использованием единой кодовой базы Go.
Вот все, что вам нужно знать об этой возникающей угрозе.
Что такое Голанг?
Go (он же Golang) – это язык программирования с открытым исходным кодом, который все еще относительно новый. Он был разработан Робертом Гриземером, Робом Пайком и Кеном Томпсоном в Google в 2007 году, хотя официально был представлен публике только в 2009 году.
Он был разработан как альтернатива C ++ и Java. Целью было создать что-то, с чем было бы легко работать и легко читать для разработчиков.
Почему киберпреступники используют Голанг?
Сегодня в дикой природе существуют тысячи вредоносных программ на основе Голанга. Как спонсируемые государством, так и негосударственные хакерские банды использовали его для создания множества штаммов, включая трояны удаленного доступа (RAT), кражи, майнеры монет и ботнеты среди многих других.
Что делает этот тип вредоносного ПО еще более мощным, так это то, что он может нацеливаться на Windows, macOS и Linux, используя одну и ту же кодовую базу. Это означает, что разработчик вредоносного ПО может написать код один раз, а затем использовать эту единую базу кода для компиляции двоичных файлов для нескольких платформ. Используя статическое связывание, код, написанный разработчиком для Linux, может работать на Mac или Windows.
Какой #Golang чаще всего используется для # программирования #coding #code #dev #webdev #CodeNewbie # 100DaysOfCode # 69DaysOfCode #WomenWhoCode pic.twitter.com/Fv8v5v8Gd5
– kuka0len (@ kuka0len) 15 февраля 2021 г.
Мы видели криптомайнеры на базе go, которые нацелены на машины как с Windows, так и с Linux, а также на многоплатформенных кража криптовалюты с троянскими приложениями, которые работают на устройствах с macOS, Windows и Linux.
Помимо этой универсальности, штаммы, написанные на Go, также оказались очень скрытными.
Многие проникли в системы без обнаружения в основном из-за большого размера вредоносного ПО, написанного на Go. Кроме того, из-за статической компоновки двоичные файлы в Go относительно крупнее, чем в других языках. Многие службы антивирусного программного обеспечения не могут сканировать такие объемные файлы.
Более того, большинству антивирусов сложнее найти подозрительный код в двоичном коде Go, поскольку они выглядят в отладчике по-другому, чем другие, написанные на более распространенных языках.
Не помогает то, что особенности этого языка программирования затрудняют обратное проектирование и анализ двоичных файлов Go.
Хотя многие инструменты обратного проектирования хорошо оснащены для анализа двоичных файлов, скомпилированных из C или C ++, двоичные файлы на основе Go по-прежнему представляют новые проблемы для обратного инженера. Это позволило значительно снизить уровень обнаружения вредоносных программ Golang.
Штаммы вредоносных программ на базе Go и векторы атак
До 2019 года обнаружение вредоносных программ, написанных на Go, могло быть редкостью, но в последние годы наблюдается устойчивый рост вредоносных штаммов вредоносных программ на основе Go.
Исследователь вредоносных программ обнаружил около 10700 уникальных штаммов вредоносных программ, написанных на Go в «дикой природе». Наиболее распространенными из них являются RAT и бэкдоры, но в последние месяцы мы также видели множество коварных программ-вымогателей, написанных на Go.
ЭлектроРАТ
Операция # ЭлектроРАТ
Уже украдены тысячи криптокошельков. Обширная кампания включает написанные с нуля RAT, скрытые в троянизированных приложениях.
Образцы Windows, Linux и macOS не обнаружены в VirusTotal https://t.co/KyBqPhZ0jW pic.twitter.com/iba6GEZ67r
– Intezer (@IntezerLabs) 5 января 2021 г.
Одним из таких средств кражи информации, написанных на Golang, является чрезвычайно назойливый ElectroRAT. Несмотря на то, что таких мерзких кражи информации много, еще более коварным является то, что он нацелен на несколько операционных систем.
Кампания ElectroRAT, обнаруженная в декабре 2020 года, включает кроссплатформенное вредоносное ПО на основе Go, которое имеет арсенал порочных возможностей, общих для его вариантов для Linux, macOS и Windows.
Эта вредоносная программа способна вести кейлоггеры, делать снимки экрана, загружать файлы с дисков, загружать файлы и выполнять команды, помимо своей конечной цели – истощения кошельков криптовалюты.
Связанный: Вредоносное ПО ElectroRAT, нацеленное на кошельки криптовалюты
Обширная кампания, которая, как считается, оставалась незамеченной в течение года, включала в себя еще более изощренную тактику.
Последнее включало создание поддельного веб-сайта и поддельных учетных записей в социальных сетях, создание трех отдельных зараженных троянами приложения, связанных с криптовалютой (каждое нацелено на Windows, Linux и macOS), продвижение зараженных приложений на форумах по криптовалюте и блокчейне, таких как Bitcoin Talk, и заманивание жертв на веб-страницы троянизированного приложения.
Когда пользователь загружает и запускает приложение, открывается графический интерфейс, а вредоносное ПО проникает в фоновый режим.
РоббинГуд
Эта зловещая программа-вымогатель попала в заголовки газет в 2019 году после того, как нанесла вред компьютерным системам города Балтимор.
Киберпреступники, стоящие за штаммом Robbinhood, потребовали 76000 долларов за расшифровку файлов. Государственные системы были отключены и не работали почти месяц, и, как сообщается, город потратил первоначальные 4,6 миллиона долларов на восстановление данных на пораженных компьютерах.
Ущерб из-за потери дохода мог стоить городу больше – до 18 миллионов долларов, согласно другим источникам.
Программа-вымогатель Robbinhood, изначально написанная на языке программирования Go, зашифровывала данные жертвы, а затем добавляла к именам скомпрометированных файлов расширение .Robbinhood. Затем он поместил исполняемый файл и текстовый файл на рабочий стол. Текстовый файл представлял собой записку о выкупе с требованиями злоумышленников.
Zebrocy
# Apt28
Многоязычный салат Zebrocy с вредоносным ПО https://t.co/uX2WxISvvl pic.twitter.com/4WPDCVDhNY– blackorbird (@blackorbird) 4 июня 2019 г.
В 2020 году оператор вредоносного ПО Sofacy разработал вариант Zebrocy, написанный на Go.
Штамм маскировался под документ Microsoft Word и распространялся с помощью фишинговых приманок COVID-19. Он работал как загрузчик, который собирал данные из системы зараженного хоста и затем загружал эти данные на командный сервер.
Арсенал Zebrocy, состоящий из дропперов, бэкдоров и загрузчиков, используется уже много лет. Но его вариант Go был обнаружен только в 2019 году.
Он был разработан поддерживаемыми государством группами киберпреступников и ранее был нацелен на министерства иностранных дел, посольства и другие правительственные организации.
В будущем появятся новые вредоносные программы Golang
Популярность вредоносных программ на базе Go растет, и они постоянно становятся популярным языком программирования для злоумышленников. Его способность атаковать несколько платформ и оставаться незамеченной в течение длительного времени делает его серьезной угрозой, заслуживающей внимания.
Это означает, что стоит подчеркнуть, что вам необходимо принять основные меры предосторожности против вредоносных программ. Не нажимайте на подозрительные ссылки и не загружайте вложения из электронных писем или веб-сайтов, даже если они исходят от вашей семьи и друзей (которые, возможно, уже заражены).