Golang on muutumas paljude pahavaraarendajate valitud programmeerimiskeeleks. Küberturbeettevõtte Intezer andmetel on alates 2017. aastast looduses leitud Go-põhiste pahavara tüvede arv kasvanud peaaegu 2000 protsenti.
Seda tüüpi pahavara kasutavate rünnakute arv peaks järgmise paari aasta jooksul suurenema. Kõige murettekitavam on see, et näeme paljusid ohutegijaid, kes sihivad mitut opsüsteemi tüvedega ühest Go koodibaasist.
Siin on kõik muu, mida peate selle tekkiva ohu kohta teadma.
Mis on Golang?
Go (teise nimega Golang) on avatud lähtekoodiga programmeerimiskeel, mis on veel suhteliselt uus. Selle töötasid Robert Griesemer, Rob Pike ja Ken Thompson Google'is välja 2007. aastal, ehkki ametlikult tutvustati seda avalikkusele alles 2009. aastal.
See töötati välja C ++ ja Java alternatiivina. Eesmärk oli luua midagi, mis on töötamiseks otsekohene ja arendajatele hõlpsasti loetav.
Seotud: Õppige selle Google Go arendajakoolituse abil Androidi keelt
Miks kasutavad küberkurjategijad Golangi?
Tänapäeval on looduses tuhandeid Golangil põhinevaid pahavara. Nii riigi poolt kui ka riiklikult toetatud häkkimisjõugud on seda kasutanud paljude tüvede, sealhulgas kaugjuurdepääsuga Trooja hobuste, varastajate, mündikaevurite ja botnettide loomiseks.
Seda tüüpi pahavara muudab eriti tugevaks viis, kuidas ta saab sama koodibaasi abil sihtida Windowsi, MacOS-i ja Linuxi. See tähendab, et pahavaraarendaja saab üks kord koodi kirjutada ja seejärel kasutada seda ühte koodibaasi mitme platvormi binaarfailide koostamiseks. Staatilise linkimise abil saab Linuxi arendaja kirjutatud koodi käivitada Macis või Windowsis.
Mida #Golang kasutatakse kõige rohkem#programmeerimine#kodeerimine#kood#dev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode#WomenWhoCodepic.twitter.com/Fv8v5v8Gd5
- kuka0len (@ kuka0len) 15. veebruar 2021
Oleme näinud nii veebipõhiseid krüptokaevureid, mis sihivad nii Windowsi kui ka Linuxi masinaid, samuti mitme platvormiga krüptovaluuta varastajaid koos Trooja rakendustega, mis töötavad MacOSi, Windowsi ja Linuxi seadmetes.
Peale selle mitmekülgsuse on Go-s kirjutatud tüved osutunud ka väga varjatuks.
Paljud on infiltreerunud süsteemidesse ilma tuvastamiseta peamiselt seetõttu, et Go-s kirjutatud pahavara on suur. Ka staatilise linkimise tõttu on Go kahendfailid teiste keeltega võrreldes suhteliselt suuremad. Paljud viirusetõrjetarkvara teenused pole piisavalt mahukate failide skannimiseks varustatud.
Pealegi on enamikul viirusetõrjevahenditel Go binaarsest seadmest raskem kahtlast koodi leida, kuna need näevad siluri all tunduvalt erinevad võrreldes teistega, mis on kirjutatud tavalisemates keeltes.
See ei aita, et selle programmeerimiskeele funktsioonid muudavad Go binaarfailide arendamise ja analüüsimise veelgi raskemaks.
Kui paljud pöördtehnoloogia tööriistad on C- või C ++ -st koostatud kahendfailide analüüsimiseks hästi varustatud, siis Go-põhised kahendfailid pakuvad pöördinseneridele endiselt uusi väljakutseid. See on hoidnud Golangi pahavara tuvastamise määra eriti madalal.
Go-põhised pahavara tüved ja rünnakuvektorid
Enne 2019. aastat võis Go-s kirjutatud pahavara märgata harva, kuid viimastel aastatel on ebameeldivate go-põhiste pahavara tüvede arv pidevalt kasvanud.
Pahavara uurija on leidnud umbes 10000 ainulaadset pahavara tüve, mis on kirjutatud raamatus Go in the wild. Kõige levinumad neist on RAT-id ja tagauksed, kuid viimastel kuudel oleme ka Go-s kirjutanud palju salakavalat lunavara.
ElectroRAT
Operatsioon #ElectroRAT
- Intezer (@IntezerLabs) 5. jaanuar 2021
Varastatud on juba tuhandeid krüptokotte. Laiaulatuslik kampaania sisaldab troojadega rakendustes peidetud nullist kirjutatud RAT-i.
Windowsi, Linuxi ja macOSi proovid on VirusTotalis avastamatahttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r
Üks selline Golangi kirjutatud infovargaja on äärmiselt pealetükkiv ElectroRAT. Kuigi neid vastikuid infovargajaid on palju, muudab selle salakavalamaks see, kuidas see sihib mitut opsüsteemi.
2020. aasta detsembris avastatud ElectroRAT kampaanias on platvormidevaheline Go-põhine pahavara, millel on Linuxi, macOSi ja Windowsi variandiga jagatud pahatahtlike võimete arsenal.
See pahavara on võimeline lukustama võtmeid, ekraanipilte tegema, faile kettadelt üles laadima, faile alla laadima ja käske täitma, välja arvatud krüptoraha rahakotite tühjendamise peamine eesmärk.
Seotud: ElectroRAT pahavara sihtimine krüptoraha rahakotid
Laiaulatuslik kampaania, mis on arvatavasti jäänud avastamata aastaks, hõlmas veelgi keerukamat taktikat.
Viimane hõlmas võltsveebi ja võltsitud sotsiaalmeediakontode loomist, kolme eraldi krüptorahaga seotud Troojaga nakatatud rakenduse loomist suunatud Windowsile, Linuxile ja macOS-ile), rikutud rakenduste reklaamimine krüpto- ja plokiahelafoorumites, nagu Bitcoin Talk, ning ahvatlevate ohvrite troojadatud rakenduste veebilehed.
Kui kasutaja on rakenduse alla laadinud ja seejärel käivitanud, avaneb graafiline kasutajaliides, kui pahavara infiltreerub taustale.
RobbinHood
Seda võigas lunavara tegi pealkirju 2019. aastal pärast Baltimore'i arvutisüsteemide linna sandistamist.
Robbinhoodi tüve taga olevad küberkurjategijad nõudsid failide dekrüpteerimiseks 76 000 dollarit. Valitsuse süsteemid muudeti võrguühenduseta ja teenustest välja peaaegu kuu aega ning väidetavalt kulutas linn mõjutatud arvutites andmete taastamiseks esialgu 4,6 miljonit dollarit.
Tulu kaotamisest tingitud kahjud võivad linnale maksta rohkem - teiste allikate andmetel kuni 18 miljonit dollarit.
Algselt programmeerimiskeeles Go kodeeritud Robbinhood lunavara krüpteeris ohvri andmed ja lisas seejärel rikutud failide failinimed laiendiga .Robbinhood. Seejärel paigutas see töölauale käivitatava faili ja tekstifaili. Tekstifail oli ründajate nõudmistega lunaraha.
Zebrocy
# Apt28
- mustrind (@blackorbird) 4. juuni 2019
Zebrocy’s Multilanguage Malware Saladhttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY
Aastal 2020 töötas pahavaraoperaator Sofacy välja Zebrocy variandi, mis on kirjutatud Go-s.
Tüvi maskeeriti Microsofti Wordi dokumendina ja levitati õngitsusvõrkude COVID-19 abil. See töötas allalaadijana, kes kogus nakatunud hostisüsteemist andmeid ja laadis need andmed seejärel käsu-ja kontrollserverisse.
Seotud: Olge ettevaatlik nende 8 COVID-19 küberkelmuse eest
Drepperitest, tagaukstest ja allalaadijatest koosnev Zebrocy arsenal on olnud kasutusel juba aastaid. Kuid selle Go variant avastati alles 2019. aastal.
Selle töötasid välja riigi toetatud küberkuritegevuse rühmad ja see on varem suunatud välisministeeriumidele, saatkondadele ja teistele valitsusorganisatsioonidele.
Tulevikus saabub veel Golangi pahavara
Go-põhine pahavara on järjest populaarsem ja sellest saab ohutegijate jaoks pidevalt programmeerimiskeel. Selle võime suunata mitmele platvormile ja jääda pikka aega märkamatuks muudab tõsise tähelepanu vääriva ohu.
See tähendab, et tasub rõhutada, et peate pahavara vastu võtma põhilisi ettevaatusabinõusid. Ärge klõpsake kahtlastel linkidel ega laadige manuseid alla veebisaitidelt ega isegi veebisaitidelt, isegi kui need pärinevad teie perelt ja sõpradelt (kes võivad juba olla nakatunud).
Pahavara areneb pidevalt, sundides viirusetõrje arendajaid tempot hoidma. Näiteks failivaba pahavara on sisuliselt nähtamatu - kuidas siis selle vastu kaitsta?
- Turvalisus
- Veebiturvalisus
- Pahavara
Loraine on kirjutanud ajakirjade, ajalehtede ja veebisaitide jaoks juba 15 aastat. Tal on magistrikraad rakendusmeediatehnoloogias ning ta on elavalt huvitatud digitaalsest meediast, sotsiaalmeedia uuringutest ja küberturvalisusest.
Telli meie uudiskiri
Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.
