Što trebate znati o malwareu temeljenom na Golangu

Golang postaje programski jezik koji odabiru mnogi programeri zlonamjernih programa. Prema tvrtki za internetsku sigurnost Intezer, od 2017. godine zabilježen je gotovo 2000 posto broja sojeva zlonamjernog softvera temeljenog na Go-u.

Očekuje se da će se broj napada korištenjem ove vrste zlonamjernog softvera povećati u sljedećih nekoliko godina. Najalarmantnije je to što vidimo mnogo aktera prijetnji koji ciljaju više operativnih sustava sa sojevima iz jedne baze kodova Go.

Ovdje je sve ostalo što trebate znati o ovoj novonastaloj prijetnji.

Što je Golang?

Go (aka Golang) je programski jezik otvorenog koda koji je još uvijek relativno nov. Razvili su ga Robert Griesemer, Rob Pike i Ken Thompson u Googleu 2007. godine, iako je službeno predstavljen javnosti tek 2009. godine.

Razvijen je kao alternativa C ++ i Javi. Cilj je bio stvoriti nešto s čime je jednostavno raditi i lako ga je čitati programerima.

Povezano: Naučite jezik Androida pomoću ovog Google Go treninga za programere

Zašto cyber kriminalci koriste Golang?

Danas u prirodi postoje tisuće zlonamjernih programa zasnovanih na Golangu. I hakerske bande sponzorirane od strane države i sponzorirane od strane države koristile su ga za stvaranje velikog broja sojeva, uključujući trojanske programe za daljinski pristup (RAT), krađe, rudare novčića i botnetske mreže.

Ono što ovu vrstu zlonamjernog softvera čini ekstra moćnim jest način na koji može ciljati Windows, MacOS i Linux koristeći istu bazu koda. To znači da programer zlonamjernog softvera može jednom napisati kod, a zatim upotrijebiti ovu jedinstvenu bazu koda za sastavljanje binarnih datoteka za više platformi. Korištenjem statičkog povezivanja, kod koji je napisao programer za Linux može se pokretati na Macu ili Windowsu.

Vidjeli smo kripto-rudare zasnovane na go-u koji ciljaju i Windows i Linux strojeve, kao i kradljivce kriptovaluta s više platformi s trojanskim aplikacijama koje rade na macOS, Windows i Linux uređajima.

Osim ove svestranosti, sojevi napisani u Go-u pokazali su se i vrlo tajnim.

Mnogi su se infiltrirali u sustave bez otkrivanja, uglavnom zato što je zlonamjerni softver napisan u programu Go velik. Također zbog statičkog povezivanja, binarne datoteke u programu Go relativno su veće u usporedbi s onima drugih jezika. Mnoge antivirusne softverske usluge nisu opremljene za skeniranje ovako glomaznih datoteka.

Štoviše, većini antivirusa teže je pronaći sumnjivi kod u binarnom programu Go, jer pod programom za otklanjanje pogrešaka izgledaju puno drugačije u odnosu na druge napisane na uobičajenim jezicima.

Ne pomaže ni to što značajke ovog programskog jezika čine Go binarne datoteke još težim za obrnuti inženjering i analizu.

Iako su mnogi alati obrnutog inženjerstva dobro opremljeni za analizu binarnih datoteka sastavljenih od C ili C ++, binarne datoteke temeljene na Gou i dalje predstavljaju nove izazove za inženjere obrnutog inženjerstva. Zbog toga su stope otkrivanja zlonamjernog softvera Golang bile izuzetno niske.

Sojevi malware-a bazirani na Go-u i vektori napada

Prije 2019. uočavanje zlonamjernog softvera napisanog u Gou moglo je biti rijetko, ali posljednjih godina bilježi se stalni porast gadnih sojeva malware-a temeljenih na go-u.

Istraživač zlonamjernog softvera pronašao je oko 10.700 jedinstvenih sojeva zlonamjernog softvera napisanih u programu Go in the wild. Najzastupljeniji su RAT-ovi i backdoor-ovi, ali posljednjih mjeseci vidjeli smo i mnogo podmuklog ransomwarea napisanog u Go-u.

ElectroRAT

Jedan od takvih krađa informacija napisan na Golangu izuzetno je nametljivi ElectroRAT. Iako je u blizini mnogo ovih gadnih kradljivaca informacija, ono što ovaj čini podmuklijim jest kako cilja više operativnih sustava.

Kampanja ElectroRAT, otkrivena u prosincu 2020. godine, sadrži zlonamjeran softver temeljen na Go-u koji ima arsenal opakih mogućnosti koje dijele njegove Linux, MacOS i Windows varijante.

Ovaj zlonamjerni softver sposoban je zabilježiti, snimati zaslone, prenositi datoteke s diskova, preuzimati datoteke i izvršavati naredbe, osim krajnjeg cilja isušivanja novčanika s kriptovalutama.

Povezano: ElectroRAT zlonamjerni softver koji cilja novčanike s kriptovalutama

Opsežna kampanja za koju se vjeruje da je godinu dana ostala neotkrivena uključivala je još složeniju taktiku.

Potonje je uključivalo stvaranje lažne web stranice i lažnih računa na društvenim mrežama, stvaranje tri zasebne aplikacije zaražene trojanskim virusima povezane s kriptovalutom (svaka ciljanje sustava Windows, Linux i macOS), promoviranje zamršenih aplikacija na kripto i blockchain forumima poput Bitcoin Talk-a i privlačenje žrtava na trojanizirane aplikacije Internet stranice.

Jednom kada korisnik preuzme, a zatim pokrene aplikaciju, otvara se GUI dok se zlonamjerni softver infiltrira u pozadinu.

RobbinHood

Ovaj zlokobni ransomware dospio na naslovnice 2019. godine nakon što je osakatio grad računalnih sustava Baltimorea.

Internetski kriminalci koji su stajali iza robina Robbinhood tražili su 76.000 američkih dolara za dešifriranje datoteka. Vladini su sustavi gotovo mjesec dana bili izvan mreže i nisu bili u funkciji, a grad je navodno potrošio početnih 4,6 milijuna dolara za oporavak podataka na pogođenim računalima.

Šteta zbog gubitka prihoda grad je možda koštala više - prema drugim izvorima i do 18 milijuna dolara.

Izvorno kodiran u programskom jeziku Go, ransomware Robbinhood šifrirao je podatke žrtve, a zatim je dodao nazive datoteka ugroženih datoteka s nastavkom .Robbinhood. Zatim je na radnu površinu stavio izvršnu datoteku i tekstualnu datoteku. Tekstualna datoteka bila je obavijest o otkupnini sa zahtjevima napadača.

Zebrocy

Godine 2020. operater zlonamjernog softvera Sofacy razvio je varijantu Zebrocy koja je napisana u programu Go.

Soj se maskirao kao dokument Microsoft Word-a i širio se pomoću ph-mamaca COVID-19. Djelovao je kao program za preuzimanje koji je prikupljao podatke iz sustava zaraženog domaćina, a zatim ih prenosio na poslužitelj za upravljanje i upravljanje.

Povezano: Pripazite na ovih 8 cyber prevara s COVID-19

Arsenal Zebrocy, sastavljen od dropera, backdoor-a i preuzimača, koristi se već dugi niz godina. No, njegova varijanta Go otkrivena je tek 2019. godine.

Razvile su ga državne skupine za kibernetski kriminal, a prethodno su bile usmjerene na ministarstva vanjskih poslova, veleposlanstva i druge vladine organizacije.

Još Golang malware-a koji dolazi u budućnosti

Zlonamjerni softver zasnovan na Go raste u popularnosti i kontinuirano postaje programski jezik za aktere prijetnje. Njegova sposobnost ciljanja više platformi i ostajanja neotkrivenog dugo vremena čini je ozbiljnom prijetnjom vrijednom pažnje.

To znači da vrijedi istaknuti da morate poduzeti osnovne mjere predostrožnosti protiv zlonamjernog softvera. Nemojte kliktati bilo kakve sumnjive veze ili preuzimati privitke s e-pošte ili web mjesta - čak i ako potiču od vaše obitelji i prijatelja (koji su možda već zaraženi).

Može li cyber sigurnost ići u korak? Budućnost zlonamjernog softvera i antivirusa

Zlonamjerni softver neprestano se razvija, prisiljavajući programere antivirusnih programa da održavaju tempo. Na primjer, zlonamjerni softver bez datoteka je u osnovi nevidljiv - pa kako se možemo obraniti od njega?

O autoru