Čo potrebujete vedieť o malvéri založenom na golangoch

Golang sa stáva programovacím jazykom voľby pre mnohých vývojárov škodlivého softvéru. Podľa spoločnosti Intezer v oblasti kybernetickej bezpečnosti došlo od roku 2017 k takmer 2 000 percentnému zvýšeniu počtu kmeňov škodlivého softvéru založených na Go, ktoré sa našli vo voľnej prírode.

Očakáva sa, že počet útokov pomocou tohto typu škodlivého softvéru sa v najbližších rokoch zvýši. Čo je najviac alarmujúce, je to, že vidíme veľa aktérov hrozieb, ktorí sa zameriavajú na viac operačných systémov s kmeňmi z jednej základne kódov Go.

Tu je všetko, čo potrebujete vedieť o tejto vznikajúcej hrozbe.

Čo je Golang?

Go (a.k.a. Golang) je programovací jazyk open-source, ktorý je stále relatívne nový. Vyvinuli ju Robert Griesemer, Rob Pike a Ken Thompson v spoločnosti Google v roku 2007, hoci pre verejnosť bola oficiálne predstavená až v roku 2009.

Bol vyvinutý ako alternatíva k C ++ a Java. Cieľom bolo vytvoriť niečo, s čím sa dá ľahko pracovať a bude ľahko čitateľné pre vývojárov.

Súvisiace: Naučte sa jazyk Androidu pomocou tohto školenia pre vývojárov Google Go

Prečo kybernetickí zločinci využívajú golang?

Vo voľnej prírode sú dnes tisíce malwarov založených na golangoch. Hackerské gangy sponzorované štátom aj neštátnymi subjektmi ho používajú na výrobu množstva kmeňov vrátane trójskych koní vzdialeného prístupu (RAT), krádeží, ťažiarov mincí a botnetov.

Vďaka čomu je tento typ škodlivého softvéru mimoriadne silný, je spôsob, ako môže zacieliť na Windows, macOS a Linux pomocou rovnakej kódovej základne. To znamená, že vývojár škodlivého softvéru môže napísať kód raz a potom pomocou tejto jedinej kódovej základne zostaviť binárne súbory pre viac platforiem. Pomocou statického prepojenia je možné kód napísaný vývojárom pre systém Linux spustiť v systémoch Mac alebo Windows.

Už sme videli krypto ťažiarov založených na princípoch, ktoré sa zameriavajú na počítače so systémom Windows aj Linux, ako aj na multiplatformové krádeže kryptomeny s trójskymi aplikáciami, ktoré fungujú na zariadeniach so systémami macOS, Windows a Linux.

Okrem tejto všestrannosti sa kmene napísané v Go preukázali ako veľmi nenápadné.

Mnohé majú infiltrované systémy bez detekcie hlavne preto, že malware napísaný v Go je veľký. Aj kvôli statickému prepojeniu sú binárne súbory v Go relatívne väčšie v porovnaní s tými v iných jazykoch. Mnoho antivírusových softvérových služieb nie je vybavených na skenovanie týchto objemných súborov.

Navyše je pre väčšinu antivírusov ťažšie nájsť podozrivý kód v binárnom prostredí Go, pretože pri debuggeri vyzerajú omnoho odlišnejšie ako v iných jazykoch napísaných v bežných jazykoch.

Nepomáha ani to, že vlastnosti tohto programovacieho jazyka robia binárne súbory Go ešte ťažšie spätne analyzovať a analyzovať.

Zatiaľ čo mnoho nástrojov pre reverzné inžinierstvo je dobre vybavených na analýzu binárnych súborov zostavených z C alebo C ++, binárne súbory založené na Go stále predstavujú pre reverzných inžinierov nové výzvy. Takto sa udržala miera detekcie malvéru Golang výrazne nízka.

Go-Based Malware Kmene a útokové vektory

Pred rokom 2019 bolo spozorovanie škodlivého softvéru napísaného v aplikácii Go možno zriedkavé, ale v posledných rokoch došlo k neustálemu nárastu škodlivých druhov malvéru založeného na princípe go.

Výskumník škodlivého softvéru našiel okolo 10 700 jedinečných kmeňov malvéru napísaných v dokumente Go in the wild. Najbežnejšie z nich sú RAT a zadné vrátka, ale v posledných mesiacoch sme v službe Go videli aj veľa zákerného ransomvéru.

ElectroRAT

Jedným z takýchto zlodejov informácií napísaných v Golangu je mimoriadne rušivý ElectroRAT. Aj keď je v okolí veľa týchto nepríjemných informačných zlodejov, vďaka čomu je tento server viac zákerný, je zameraný na viaceré operačné systémy.

Kampaň ElectroRAT, ktorá bola objavená v decembri 2020, obsahuje malware naprieč platformami založený na Go, ktorý má arzenál začarovaných schopností zdieľaných s jeho variantmi Linux, MacOS a Windows.

Tento malware je schopný zaznamenávať kľúčové slová, snímať snímky obrazovky, nahrávať súbory z diskov, sťahovať súbory a vykonávať príkazy okrem svojho konečného cieľa, ktorým je vyčerpanie peňaženiek kryptomeny.

Súvisiace: Peňaženky na kryptomenu zacielené na malvér ElectroRAT

Rozsiahla kampaň, o ktorej sa predpokladá, že zostala rok nezistená, zahŕňala ešte prepracovanejšiu taktiku.

Druhá z nich zahŕňala vytvorenie falošnej webovej stránky a falošných účtov sociálnych médií a vytvorenie troch samostatných aplikácií infikovaných trójskymi kôňmi, ktoré súviseli s kryptomenou zacielenie na Windows, Linux a macOS), propagácia znehodnotených aplikácií na krypto a blockchainových fórach, ako je Bitcoin Talk, a lákanie obetí na trójsku aplikáciu internetové stránky.

Keď si používateľ stiahne a potom spustí aplikáciu, otvorí sa grafické používateľské rozhranie, zatiaľ čo škodlivý softvér infiltruje na pozadí.

RobbinHood

Toto zlovestný ransomvér robil titulky v roku 2019 po ochromení počítačových systémov mesta Baltimore.

Kybernetickí zločinci, ktorí stáli za kmeňom Robbinhood, požadovali za dešifrovanie súborov 76 000 dolárov. Vládne systémy boli vykreslené offline a mimo prevádzky takmer mesiac. Mesto údajne vynaložilo počiatočných 4,6 milióna dolárov na obnovenie údajov v postihnutých počítačoch.

Škody spôsobené stratou výnosov mohli mesto stáť viac - podľa iných zdrojov až 18 miliónov dolárov.

Ransomvér Robbinhood, ktorý bol pôvodne kódovaný v programovacom jazyku Go, šifroval údaje obete a potom k nim pripojil názvy napadnutých súborov pomocou prípony .Robbinhood. Potom umiestnil spustiteľný súbor a textový súbor na plochu. Textový súbor bol výkupným s požiadavkami útočníkov.

Zebrocy

V roku 2020 vyvinul operátor malvéru Sofacy variant Zebrocy, ktorý je napísaný v jazyku Go.

Kmeň sa vydával za dokument Microsoft Word a bol šírený pomocou phishingových návnad COVID-19. Fungovalo to ako sťahovač, ktorý zhromažďoval údaje zo systému infikovaného hostiteľa a potom ich načítal na server príkazov a ovládaní.

Súvisiace: Dávajte si pozor na týchto 8 kybernetických podvodov COVID-19

Arzenál Zebrocy zložený z kvapkadiel, zadných vrátok a sťahovacích prostriedkov sa používa už mnoho rokov. Jeho variant Go bol ale objavený až v roku 2019.

Vyvinuli ho štátom podporované skupiny pre počítačovú kriminalitu a predtým sa zameriavalo na ministerstvá zahraničných vecí, veľvyslanectvá a ďalšie vládne organizácie.

Viac malwarského golangu, ktorý príde v budúcnosti

Go-based malware rastie na popularite a neustále sa stáva programovacím jazykom go-to pre aktérov hrozieb. Jeho schopnosť zacieliť na viac platforiem a zostať dlho nezistený z neho robí vážnu hrozbu hodnú pozornosti.

To znamená, že stojí za to zdôrazniť, že musíte prijať základné preventívne opatrenia proti škodlivému softvéru. Neklikajte na žiadne podozrivé odkazy a nestahujte prílohy z e-mailov ani webových stránok, a to ani vtedy, keď pochádzajú od vašej rodiny a priateľov (ktorí už môžu byť infikovaní).

Dokáže kybernetická bezpečnosť držať krok? Budúcnosť malvéru a antivírusu

Malvér sa neustále vyvíja, čo núti vývojárov antivírusov udržiavať krok. Napríklad malware bez súborov je v podstate neviditeľný - tak ako sa mu môžeme brániť?

O autorovi