Το Golang γίνεται η γλώσσα προγραμματισμού της επιλογής για πολλούς προγραμματιστές κακόβουλου λογισμικού. Σύμφωνα με την εταιρεία κυβερνοασφάλειας Intezer, έχει σημειωθεί αύξηση σχεδόν 2000% στον αριθμό των στελεχών κακόβουλου λογισμικού που βασίζονται σε Go από το 2017.

Ο αριθμός των επιθέσεων που χρησιμοποιούν αυτόν τον τύπο κακόβουλου λογισμικού αναμένεται να αυξηθεί τα επόμενα δύο χρόνια. Αυτό που είναι πιο ανησυχητικό είναι ότι βλέπουμε πολλούς απειλητικούς ηθοποιούς που στοχεύουν πολλαπλά λειτουργικά συστήματα με στελέχη από μία μόνο βάση κώδικα Go.

Εδώ είναι όλα όσα πρέπει να γνωρίζετε για αυτήν την αναδυόμενη απειλή.

Τι είναι το Golang;

Το Go (γνωστό ως Golang) είναι μια γλώσσα προγραμματισμού ανοιχτού κώδικα που είναι ακόμα σχετικά νέα. Αναπτύχθηκε από τους Robert Griesemer, Rob Pike και Ken Thompson στο Google το 2007, αν και κυκλοφόρησε επίσημα μόνο στο κοινό το 2009.

Αναπτύχθηκε ως εναλλακτική λύση για τα C ++ και Java. Ο στόχος ήταν να δημιουργήσουμε κάτι που να είναι εύκολο να δουλέψεις και να το διαβάσεις εύκολα.

instagram viewer

Σχετιζομαι με: Μάθετε τη γλώσσα του Android με αυτήν την εκπαίδευση προγραμματιστών του Google Go

Γιατί οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν το Golang;

Υπάρχουν χιλιάδες κακόβουλα προγράμματα με βάση το Golang σήμερα. Τόσο οι συμμορίες που χρηματοδοτούνται από το κράτος όσο και οι μη κυβερνητικές hacking το χρησιμοποιούν για να παράγουν μια σειρά από στελέχη, συμπεριλαμβανομένων των Trojan Remote Access (RAT), των κλεφτών, των ανθρακωρύχων και των botnets μεταξύ πολλών άλλων.

Αυτό που κάνει αυτόν τον τύπο κακόβουλου λογισμικού πιο ισχυρό είναι ο τρόπος με τον οποίο μπορεί να στοχεύσει Windows, macOS και Linux χρησιμοποιώντας την ίδια βάση κώδικα. Αυτό σημαίνει ότι ένας προγραμματιστής κακόβουλου λογισμικού μπορεί να γράψει κώδικα μία φορά και, στη συνέχεια, να χρησιμοποιήσει αυτή τη μοναδική βάση κώδικα για τη συλλογή δυαδικών αρχείων για πολλές πλατφόρμες. Χρησιμοποιώντας στατική σύνδεση, ένας κώδικας γραμμένος από προγραμματιστή για Linux μπορεί να εκτελεστεί σε Mac ή Windows.

Τι # Γκολγκ χρησιμοποιείται περισσότερο για#προγραμματισμός# κωδικοποίηση#κώδικας#dev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode# ΓυναίκεςWhoCodepic.twitter.com/Fv8v5v8Gd5

- kuka0len (@ kuka0len) 15 Φεβρουαρίου 2021

Έχουμε δει κρυπτογραφητές που βασίζονται σε υπολογιστές που στοχεύουν τόσο σε υπολογιστές Windows όσο και σε Linux, καθώς και σε κρυπτογράφους κρυπτογράφησης πολλαπλών πλατφορμών με trojan εφαρμογές που εκτελούνται σε συσκευές macOS, Windows και Linux.

Εκτός από αυτήν την ευελιξία, τα στελέχη που γράφονται στο Go έχουν αποδειχθεί επίσης πολύ κρυφά.

Πολλοί έχουν διεισδύσει σε συστήματα χωρίς ανίχνευση κυρίως επειδή το κακόβουλο λογισμικό που γράφεται στο Go είναι μεγάλο. Επίσης, λόγω της στατικής σύνδεσης, τα δυαδικά αρχεία στο Go είναι σχετικά μεγαλύτερα σε σύγκριση με αυτά των άλλων γλωσσών. Πολλές υπηρεσίες λογισμικού προστασίας από ιούς δεν είναι εξοπλισμένες για σάρωση αρχείων αυτού του ογκώδους.

Επιπλέον, είναι πιο δύσκολο για τους περισσότερους ιούς να βρουν ύποπτο κώδικα στο Go binary, καθώς φαίνονται πολύ διαφορετικά σε ένα πρόγραμμα εντοπισμού σφαλμάτων σε σύγκριση με άλλα γραμμένα σε πιο mainstream γλώσσες.

Δεν βοηθά τα χαρακτηριστικά αυτής της γλώσσας προγραμματισμού να κάνουν τα δυαδικά αρχεία Go ακόμα πιο δύσκολο να αντιστραφούν και να αναλυθούν.

Ενώ πολλά εργαλεία αντίστροφης μηχανικής είναι καλά εξοπλισμένα για την ανάλυση δυαδικών αρχείων που συλλέγονται από C ή C ++, τα δυαδικά βασισμένα στο Go εξακολουθούν να παρουσιάζουν νέες προκλήσεις για τους μηχανικούς αντίστροφης μηχανικής. Αυτό έχει διατηρήσει τα ποσοστά ανίχνευσης κακόβουλου λογισμικού Golang ιδιαίτερα χαμηλά.

Go-Based Malware Strains και Attack Vectors

Πριν από το 2019, ο εντοπισμός κακόβουλου λογισμικού που γράφτηκε στο Go μπορεί να ήταν σπάνιος, αλλά τα τελευταία χρόνια υπήρξε σταθερή αύξηση στα άσχημα στελέχη κακόβουλου λογισμικού.

Ερευνητής κακόβουλου λογισμικού έχει βρει περίπου 10.700 μοναδικά στελέχη κακόβουλου λογισμικού γραμμένα στο Go in the wild. Τα πιο διαδεδομένα από αυτά είναι RAT και backdoors, αλλά τους τελευταίους μήνες έχουμε δει επίσης πολλά ύπουλα ransomware γραμμένα στο Go.

ElectroRAT

Λειτουργία # Ηλεκτρονικό ΡΑΤ
Ήδη έχουν κλαπεί χιλιάδες κρυπτογραφικά πορτοφόλια Η εκτεταμένη καμπάνια περιλαμβάνει γραπτή από την αρχή RAT κρυμμένη σε trojanized εφαρμογές.
Δείγματα Windows, Linux και macOS δεν εντοπίστηκαν στο VirusTotalhttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r

- Intezer (@IntezerLabs) 5 Ιανουαρίου 2021

Ένα τέτοιο info-cureal γραμμένο στο Golang είναι το εξαιρετικά ενοχλητικό ElectroRAT. Ενώ υπάρχουν πολλά από αυτά τα άσχημα στοιχεία κλοπής πληροφοριών, αυτό που το κάνει πιο ύπουλο είναι πώς στοχεύει πολλαπλά λειτουργικά συστήματα.

Η εκστρατεία ElectroRAT, που ανακαλύφθηκε τον Δεκέμβριο του 2020, διαθέτει κακόβουλο λογισμικό πολλαπλών πλατφορμών Go που έχει ένα οπλοστάσιο κακών δυνατοτήτων που μοιράζονται οι παραλλαγές Linux, macOS και Windows

Αυτό το κακόβουλο λογισμικό είναι ικανό να κάνει πληκτρολόγηση, λήψη στιγμιότυπων οθόνης, μεταφόρτωση αρχείων από δίσκους, λήψη αρχείων και εκτέλεση εντολών εκτός από τον απώτερο στόχο του να εξαντλήσει τα πορτοφόλια κρυπτογράφησης.

Σχετιζομαι με: Πορτοφόλια κρυπτονομισμάτων στόχευσης κακόβουλου λογισμικού ElectroRAT

Η εκτεταμένη εκστρατεία που πιστεύεται ότι παρέμεινε απαρατήρητη για ένα χρόνο περιλάμβανε ακόμη πιο περίτεχνες τακτικές.

Το τελευταίο περιλάμβανε τη δημιουργία ψεύτικου ιστότοπου και ψεύτικων λογαριασμών κοινωνικών μέσων, τη δημιουργία τριών ξεχωριστών εφαρμογών που έχουν μολυνθεί από trojan και σχετίζονται με την κρυπτογράφηση στοχεύοντας σε Windows, Linux και macOS), προωθώντας τις μολυσμένες εφαρμογές σε φόρουμ κρυπτογράφησης και blockchain, όπως το Bitcoin Talk, και δελεάζοντας τα θύματα στις τρομοκρατικές εφαρμογές ιστοσελίδες.

Μόλις ένας χρήστης κάνει λήψη και στη συνέχεια εκτελέσει την εφαρμογή, ανοίγει ένα GUI ενώ το κακόβουλο λογισμικό διεισδύει στο παρασκήνιο.

RobbinHood

Αυτό απαίσιο ransomware πρωτοσέλιδα το 2019 μετά την ανατροπή των συστημάτων υπολογιστών της πόλης της Βαλτιμόρης.

Οι εγκληματίες στον κυβερνοχώρο πίσω από το στέλεχος Robbinhood ζήτησαν 76.000 $ για την αποκρυπτογράφηση των αρχείων. Τα κυβερνητικά συστήματα παραδόθηκαν εκτός σύνδεσης και εκτός λειτουργίας για σχεδόν ένα μήνα και σύμφωνα με πληροφορίες η πόλη ξόδεψε αρχικά 4,6 εκατομμύρια δολάρια για να ανακτήσει τα δεδομένα στους υπολογιστές που επηρεάστηκαν.

Οι ζημιές που οφείλονται στην απώλεια εσόδων ενδέχεται να έχουν κοστίσει περισσότερο την πόλη - έως και 18 εκατομμύρια δολάρια σύμφωνα με άλλες πηγές.

Αρχικά κωδικοποιήθηκε στη γλώσσα προγραμματισμού Go, το Robbinhood ransomware κρυπτογράφησε τα δεδομένα του θύματος και στη συνέχεια επισύναψε τα ονόματα αρχείων των παραβιασμένων αρχείων με την επέκταση .Robbinhood. Στη συνέχεια τοποθέτησε ένα εκτελέσιμο αρχείο και αρχείο κειμένου στην επιφάνεια εργασίας. Το αρχείο κειμένου ήταν η σημείωση λύτρων με τις απαιτήσεις των επιτιθέμενων.

Zebrocy

# Apt28
Πολυγλωσσική σαλάτα Zebrocyhttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY

- blackorbird (@blackorbird) 4 Ιουνίου 2019

Το 2020, ο χειριστής κακόβουλου λογισμικού Sofacy ανέπτυξε μια παραλλαγή Zebrocy που είναι γραμμένη στο Go.

Το στέλεχος μεταμφιέστηκε ως έγγραφο του Microsoft Word και εξαπλώθηκε χρησιμοποιώντας δέσμες ψαρέματος COVID-19. Λειτουργούσε ως πρόγραμμα λήψης που συνέλεξε δεδομένα από το μολυσμένο σύστημα κεντρικού υπολογιστή και στη συνέχεια ανέβασε αυτά τα δεδομένα στο διακομιστή εντολών και ελέγχου.

Σχετιζομαι με: Προσέξτε για αυτές τις 8 απάτες COVID-19 Cyber

Το οπλοστάσιο Zebrocy, αποτελούμενο από σταγονόμετρα, backdoors και downloaders, χρησιμοποιείται εδώ και πολλά χρόνια. Αλλά η παραλλαγή Go ανακαλύφθηκε μόνο το 2019.

Αναπτύχθηκε από κυβερνητικές ομάδες εγκλήματος στον κυβερνοχώρο και στοχεύει στο παρελθόν υπουργεία Εξωτερικών Υποθέσεων, πρεσβειών και άλλων κυβερνητικών οργανισμών.

Περισσότερα κακόβουλα προγράμματα Golang για να έρθουν στο μέλλον

Το κακόβουλο λογισμικό που βασίζεται σε Go αυξάνεται στη δημοτικότητά του και γίνεται συνεχώς η γλώσσα προγραμματισμού για παράγοντες που απειλούν. Η ικανότητά του να στοχεύει πολλές πλατφόρμες και να μην ανιχνεύεται για μεγάλο χρονικό διάστημα την καθιστά μια σοβαρή απειλή που αξίζει προσοχής.

Αυτό σημαίνει ότι αξίζει να τονιστεί ότι πρέπει να λάβετε βασικές προφυλάξεις κατά του κακόβουλου λογισμικού. Μην κάνετε κλικ σε ύποπτους συνδέσμους και μην κατεβάσετε συνημμένα από email ή ιστότοπους, ακόμα κι αν προέρχονται από την οικογένεια και τους φίλους σας (που ενδέχεται να έχουν ήδη μολυνθεί)

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Μπορεί η Cybersecurity να συνεχίσει; Το μέλλον του κακόβουλου λογισμικού και του ιού

Το κακόβουλο λογισμικό εξελίσσεται συνεχώς, αναγκάζοντας τους προγραμματιστές προστασίας από ιούς να διατηρήσουν το ρυθμό τους. Το κακόβουλο λογισμικό, για παράδειγμα, είναι ουσιαστικά αόρατο - έτσι πώς μπορούμε να το υπερασπιστούμε;

Σχετικά θέματα
  • Ασφάλεια
  • Διαδικτυακή ασφάλεια
  • Κακόβουλο λογισμικό
Σχετικά με τον Συγγραφέα
Loraine Balita-Centeno (Δημοσιεύθηκαν 27 άρθρα)

Η Loraine γράφει για περιοδικά, εφημερίδες και ιστότοπους για 15 χρόνια. Έχει μεταπτυχιακό στην τεχνολογία εφαρμοσμένων μέσων και έντονο ενδιαφέρον για ψηφιακά μέσα, μελέτες κοινωνικών μέσων και ασφάλεια στον κυβερνοχώρο.

Περισσότερα από τη Loraine Balita-Centeno

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.