Что нужно знать о вредоносных программах на основе Golang

Golang становится языком программирования, который выбирают многие разработчики вредоносных программ. По данным компании Intezer, занимающейся кибербезопасностью, с 2017 года количество вредоносных программ на основе Go, обнаруженных в дикой природе, увеличилось почти на 2000 процентов.

Ожидается, что в ближайшие пару лет количество атак с использованием этого типа вредоносного ПО увеличится. Больше всего тревожит то, что мы видим множество злоумышленников, которые нацелены на несколько операционных систем с использованием единой кодовой базы Go.

Вот все, что вам нужно знать об этой возникающей угрозе.

Что такое Голанг?

Go (он же Golang) - это язык программирования с открытым исходным кодом, который все еще относительно новый. Он был разработан Робертом Гриземером, Робом Пайком и Кеном Томпсоном в Google в 2007 году, хотя официально был представлен публике только в 2009 году.

Он был разработан как альтернатива C ++ и Java. Целью было создать что-то, с чем было бы легко работать и легко читать для разработчиков.

Связанный: Изучите язык Android с помощью этого тренинга для разработчиков Google Go

Почему киберпреступники используют Голанг?

Сегодня в дикой природе существуют тысячи вредоносных программ на основе Голанга. Как спонсируемые государством, так и негосударственные хакерские банды использовали его для создания множества штаммов, включая трояны удаленного доступа (RAT), кражи, майнеры монет и ботнеты среди многих других.

Что делает этот тип вредоносного ПО еще более мощным, так это то, что он может нацеливаться на Windows, macOS и Linux с использованием одной и той же кодовой базы. Это означает, что разработчик вредоносного ПО может написать код один раз, а затем использовать эту единую базу кода для компиляции двоичных файлов для нескольких платформ. Используя статическое связывание, код, написанный разработчиком для Linux, может работать на Mac или Windows.

Мы видели криптомайнеры на базе go, которые нацелены на машины как с Windows, так и с Linux, а также на многоплатформенных кража криптовалюты с помощью троянских приложений, которые работают на устройствах с macOS, Windows и Linux.

Помимо этой универсальности, штаммы, написанные на Go, также оказались очень скрытными.

Многие проникли в системы без обнаружения в основном из-за большого размера вредоносного ПО, написанного на Go. Также из-за статической компоновки двоичные файлы в Go относительно крупнее, чем в других языках. Многие службы антивирусного программного обеспечения не могут сканировать такие объемные файлы.

Более того, большинству антивирусов сложнее найти подозрительный код в двоичном коде Go, поскольку они выглядят в отладчике по-другому, чем другие, написанные на более распространенных языках.

Не помогает то, что особенности этого языка программирования затрудняют обратное проектирование и анализ двоичных файлов Go.

Хотя многие инструменты обратного проектирования хорошо оснащены для анализа двоичных файлов, скомпилированных из C или C ++, двоичные файлы на основе Go по-прежнему представляют новые проблемы для обратного инженера. Это позволило значительно снизить уровень обнаружения вредоносных программ Golang.

Штаммы вредоносных программ на основе Go и векторы атак

До 2019 года обнаружение вредоносных программ, написанных на Go, могло быть редкостью, но в последние годы наблюдается устойчивый рост вредоносных штаммов вредоносных программ на основе Go.

Исследователь вредоносных программ обнаружил около 10700 уникальных штаммов вредоносных программ, написанных на Go. Наиболее распространенными из них являются RAT и бэкдоры, но в последние месяцы мы также стали свидетелями множества коварных программ-вымогателей, написанных на Go.

ЭлектроРАТ

Одним из таких средств кражи информации, написанных на Golang, является чрезвычайно назойливый ElectroRAT. Несмотря на то, что вокруг много таких мерзких кражи информации, что делает этот еще более коварным, так это то, как он нацелен на несколько операционных систем.

Кампания ElectroRAT, обнаруженная в декабре 2020 года, включает кроссплатформенное вредоносное ПО на основе Go, которое обладает целым арсеналом порочных возможностей, присущих его вариантам для Linux, macOS и Windows.

Эта вредоносная программа способна вести кейлоггеры, делать снимки экрана, загружать файлы с дисков, загружать файлы и выполнять команды, помимо своей конечной цели - истощения кошельков криптовалюты.

Связанный: Вредоносное ПО ElectroRAT, нацеленное на кошельки с криптовалютой

Обширная кампания, которая, как считается, оставалась незамеченной в течение года, включала в себя еще более изощренную тактику.

Последнее включало создание поддельного веб-сайта и поддельных учетных записей в социальных сетях, а также создание трех отдельных зараженных троянами приложений, связанных с криптовалютой (каждое нацелены на Windows, Linux и macOS), продвигая зараженные приложения на форумах, посвященных криптографии и блокчейну, например Bitcoin Talk, и заманивая жертв в веб-страница.

Когда пользователь загружает и запускает приложение, открывается графический интерфейс, а вредоносное ПО проникает в фоновый режим.

РоббинГуд

Этот зловещая программа-вымогатель попал в заголовки газет в 2019 году после повреждения компьютерных систем города Балтимор.

Киберпреступники, стоящие за штаммом Robbinhood, потребовали 76000 долларов за расшифровку файлов. Правительственные системы были отключены и не обслуживались почти на месяц, и, как сообщается, город потратил первоначальные 4,6 миллиона долларов на восстановление данных на пораженных компьютерах.

Ущерб из-за потери дохода мог стоить городу больше - до 18 миллионов долларов, согласно другим источникам.

Программа-вымогатель Robbinhood, изначально написанная на языке программирования Go, зашифровывала данные жертвы, а затем добавляла к именам скомпрометированных файлов расширение .Robbinhood. Затем он поместил исполняемый файл и текстовый файл на рабочий стол. Текстовый файл представлял собой записку о выкупе с требованиями злоумышленников.

Zebrocy

В 2020 году оператор вредоносного ПО Sofacy разработал вариант Zebrocy, написанный на Go.

Штамм маскировался под документ Microsoft Word и распространялся с помощью фишинговых приманок COVID-19. Он работал как загрузчик, который собирал данные из системы зараженного хоста и затем загружал эти данные на командный сервер.

Связанный: Остерегайтесь этих 8 кибер-мошенников, связанных с COVID-19

Арсенал Zebrocy, состоящий из дропперов, бэкдоров и загрузчиков, используется уже много лет. Но его вариант Go был обнаружен только в 2019 году.

Он был разработан поддерживаемыми государством группами киберпреступников и ранее был нацелен на министерства иностранных дел, посольства и другие правительственные организации.

В будущем появятся новые вредоносные программы Golang

Популярность вредоносных программ на базе Go растет, и они постоянно становятся популярным языком программирования для злоумышленников. Его способность атаковать несколько платформ и оставаться незамеченной в течение длительного времени делает его серьезной угрозой, заслуживающей внимания.

Это означает, что стоит подчеркнуть, что вам необходимо принять основные меры предосторожности против вредоносных программ. Не нажимайте на подозрительные ссылки и не загружайте вложения из электронных писем или веб-сайтов, даже если они исходят от вашей семьи и друзей (которые, возможно, уже заражены).

Может ли кибербезопасность идти в ногу со временем? Будущее вредоносных программ и антивирусов

Вредоносные программы постоянно развиваются, заставляя разработчиков антивирусов не отставать. Например, бесфайловые вредоносные программы практически невидимы - так как же нам от них защититься?

Об авторе