Mitä sinun on tiedettävä Golang-pohjaisista haittaohjelmista

Golangista on tulossa monien haittaohjelmakehittäjien valitsema ohjelmointikieli. Kyberturvallisuusyrityksen Intezerin mukaan luonnossa löydettyjen Go-pohjaisten haittaohjelmakantojen määrä on kasvanut lähes 2000 prosenttia vuodesta 2017 lähtien.

Tämän tyyppisiä haittaohjelmia käyttävien hyökkäysten määrän odotetaan kasvavan parin seuraavan vuoden aikana. Huolestuttavinta on, että näemme monia uhka-toimijoita, jotka kohdistavat useita käyttöjärjestelmiä, joissa on kantoja yhdestä Go-koodikannasta.

Tässä on kaikki muu mitä sinun tarvitsee tietää tästä nousevasta uhasta.

Mikä on Golang?

Go (alias Golang) on ​​avoimen lähdekoodin ohjelmointikieli, joka on vielä suhteellisen uusi. Sen ovat kehittäneet Robert Griesemer, Rob Pike ja Ken Thompson Googlessa vuonna 2007, vaikka se esiteltiin virallisesti yleisölle vasta vuonna 2009.

Se on kehitetty vaihtoehtona C ++ ja Java. Tavoitteena oli luoda jotain, joka on yksinkertaista työskennellä ja helppo lukea kehittäjille.

Liittyvät: Opi Android-kieli tällä Google Go -kehittäjäkoulutuksella

Miksi verkkorikolliset käyttävät Golangia?

Nykyään luonnossa on tuhansia Golang-pohjaisia ​​haittaohjelmia. Sekä valtion tukemat että valtion tukemat hakkerointijengit ovat käyttäneet sitä tuottamaan useita kantoja, mukaan lukien etäkäyttöiset troijalaiset (RAT), varastajat, kolikoiden louhijat ja botnetit monien muiden joukossa.

Mikä tekee tämän tyyppisestä haittaohjelmasta erityisen tehokkaan, on tapa, jolla se voi kohdistaa Windowsiin, macOS: iin ja Linuxiin samaa kooditietokantaa käyttäen. Tämä tarkoittaa, että haittaohjelmakehittäjä voi kirjoittaa koodin kerran ja käyttää tätä yhtä koodipohjaa binäärien kokoamiseen useille alustoille. Staattisen linkityksen avulla kehittäjän Linuxille kirjoittama koodi voi toimia Macissa tai Windowsissa.

Olemme nähneet go-pohjaisia ​​krypto-kaivostyöläisiä, jotka kohdistavat sekä Windows- että Linux-koneita, sekä usean alustan kryptovaluutta-varastajia, joissa on troijalaisia ​​sovelluksia, jotka toimivat MacOS-, Windows- ja Linux-laitteilla.

Tämän monipuolisuuden lisäksi myös Go: ssa kirjoitetut kannat ovat osoittautuneet erittäin varkaiksi.

Monilla on tunkeutunut järjestelmiä havaitsematta lähinnä siksi, että Go-ohjelmassa kirjoitettu haittaohjelma on suuri. Myös staattisen linkityksen takia Go: n binäärit ovat suhteellisen suurempia verrattuna muiden kielten kieliin. Monet virustentorjuntaohjelmistopalvelut eivät ole valmiita skannaamaan tiedostoja näin suurina.

Lisäksi useimpien virustorjuntaohjelmien on vaikea löytää epäilyttävää koodia Go-binaarista, koska ne näyttävät virheenkorjauksen alla paljon erilaisilta verrattuna muihin, jotka on kirjoitettu yleisemmillä kielillä.

Se ei auta, että tämän ohjelmointikielen ominaisuudet tekevät Go-binääreistä vieläkin vaikeammaksi suunnitella ja analysoida.

Vaikka monet käänteisen suunnittelun työkalut ovat hyvin varusteltuja analysoimaan binäärejä, jotka on koottu C: stä tai C ++: sta, Go-pohjaiset binäärit tarjoavat edelleen uusia haasteita käänteisille insinööreille. Tämä on pitänyt Golang-haittaohjelmien havaitsemisnopeuden erityisen alhaisena.

Go-pohjaiset haittaohjelmakannat ja hyökkäysvektorit

Ennen vuotta 2019 Go-ohjelmassa kirjoitettujen haittaohjelmien havaitseminen on voinut olla harvinaista, mutta viime vuosina on tapahtunut vääriä go-pohjaisten haittaohjelmakantojen tasaista kasvua.

Haittaohjelmien tutkija on löytänyt noin 10 700 ainutlaatuista haittaohjelmakantaa, jotka on kirjoitettu Go in the wild -sarjaan. Yleisimpiä näistä ovat RAT ja takaovet, mutta viime kuukausina olemme myös nähneet paljon salakavalia ransomware-ohjelmia, jotka on kirjoitettu Go: ssa.

ElectroRAT

Yksi tällainen Golangissa kirjoitettu tietovarastaja on erittäin tunkeileva ElectroRAT. Vaikka ympärillä on monia näitä ikäviä tietovarastajia, mikä tekee tästä salakavalamman, on se, kuinka se kohdistaa useisiin käyttöjärjestelmiin.

ElectroRAT-kampanja, joka löydettiin joulukuussa 2020, sisältää monia alustoja sisältävän Go-pohjaisen haittaohjelman, jonka Linux-, macOS- ja Windows-muunnelmat jakavat armeijan pahoja ominaisuuksia.

Tämä haittaohjelma kykenee avaimen avaamiseen, kuvakaappausten ottamiseen, tiedostojen lataamiseen levyiltä, ​​tiedostojen lataamiseen ja komentojen suorittamiseen lukuun ottamatta lopullista tavoitettaan tyhjentää kryptovaluutta-lompakot.

Liittyvät: ElectroRAT-haittaohjelmien kohdistaminen kryptovaluutta-lompakkoihin

Laaja kampanja, jonka uskotaan pysyneen huomaamatta vuoden ajan, sisälsi vielä monimutkaisempia taktiikoita.

Jälkimmäiseen sisältyi väärennetyn verkkosivuston ja väärennettyjen sosiaalisen median tilien luominen, kolmen erillisen kryptovaluuttaan liittyvän troijalaistartunnan saaneen sovelluksen luominen (kukin kohdistaminen Windowsiin, Linuxiin ja macOS: iin), pilaantuneiden sovellusten mainostaminen salaus- ja lohkoketjufoorumeilla, kuten Bitcoin Talk, ja houkuttelemalla uhreja troijalaisen sovelluksen verkkosivut.

Kun käyttäjä on ladannut ja suorittanut sovelluksen, GUI avautuu, kun haittaohjelma tunkeutuu taustalle.

RobbinHood

Tämä synkkä lunnasohjelma teki otsikoita vuonna 2019 lamautettuaan Baltimoren tietokonejärjestelmien kaupungin.

Verkkorikolliset Robbinhood-kannan takana vaativat 76 000 dollaria tiedostojen salauksen purkamiseksi. Hallituksen järjestelmät vietiin offline-tilaan ja pois käytöstä melkein kuukauden ajan, ja kaupungin ilmoitettiin käyttäneen alkuperäiset 4,6 miljoonaa dollaria tietojen palauttamiseen kyseisissä tietokoneissa.

Tulojen menetyksestä johtuvat vahingot ovat saattaneet maksaa kaupunkiin enemmän - muiden lähteiden mukaan jopa 18 miljoonaa dollaria.

Alun perin koodattu Go-ohjelmointikielellä Robbinhood-lunnasohjelma salasi uhrin tiedot ja lisäsi sitten vaurioituneiden tiedostojen tiedostot .Robbinhood-laajennuksella. Sitten se sijoitti suoritettavan tiedoston ja tekstitiedoston työpöydälle. Tekstitiedosto oli lunnaita koskeva huomautus hyökkääjien vaatimusten kanssa.

Zebrocy

Vuonna 2020 haittaohjelmaoperaattori Sofacy kehitti Go-kirjoitetun Zebrocy-variantin.

Kanta maskeerattiin Microsoft Word -asiakirjaksi ja levitettiin COVID-19-verkkourkinnoilla. Se toimi lataimena, joka keräsi tietoja tartunnan saaneen isännän järjestelmästä ja latasi sitten tiedot komento- ja hallintapalvelimelle.

Liittyvät: Varo näitä 8 COVID-19-verkkohuijausta

Zebrocy-arsenaali, joka koostuu pisaroista, takaovista ja latauslaitteista, on ollut käytössä monien vuosien ajan. Mutta sen Go-muunnos löydettiin vasta vuonna 2019.

Sen ovat kehittäneet valtion tukemat verkkorikollisryhmät, ja se on aiemmin kohdennettu ulkoministeriöihin, suurlähetystöihin ja muihin hallitusjärjestöihin.

Lisää Golang-haittaohjelmia tulevaisuuteen

Go-pohjaisten haittaohjelmien suosio kasvaa ja niistä tulee jatkuvasti uhkatoimijoiden ohjelmointikieli. Sen kyky kohdistaa useita alustoja ja pysyä huomaamattomana pitkään tekee siitä vakavan huomion arvoisen uhan.

Tämä tarkoittaa, että kannattaa korostaa, että sinun on ryhdyttävä perusvarotoimiin haittaohjelmia vastaan. Älä napsauta epäilyttäviä linkkejä tai lataa liitetiedostoja sähköposteista tai verkkosivustoilta, vaikka ne olisivat peräisin perheeltäsi ja ystäviltäsi (jotka voivat jo olla saaneet tartunnan).

Voiko kyberturvallisuus pysyä mukana? Haittaohjelmien ja virustorjunnan tulevaisuus

Haittaohjelma kehittyy jatkuvasti ja pakottaa virustentorjuntakehittäjät pysymään vauhdissa. Esimerkiksi tiedostoton haittaohjelma on pohjimmiltaan näkymätöntä - niin miten voimme puolustautua sitä vastaan?

Kirjailijasta