Ką reikia žinoti apie kenkėjišką programą, pagrįstą „Golang“

„Golang“ tampa pasirinkta programavimo kalba daugeliui kenkėjiškų programų kūrėjų. Pasak kibernetinio saugumo firmos „Intezer“, laukinėje gamtoje nuo 2017 m. „Go“ pagrindu sukurtų kenkėjiškų programų padermių padaugėjo beveik 2000 proc.

Tikimasi, kad per ateinančius porą metų išpuolių, naudojant tokio tipo kenkėjiškas programas, skaičius išaugs. Labiausiai nerimą kelia tai, kad matome daug grėsmių veikėjų, kurie taikosi į kelias operacines sistemas su įtempiais iš vienos „Go“ bazės.

Čia yra visa kita, ką reikia žinoti apie šią kylančią grėsmę.

Kas yra Golangas?

„Go“ (dar žinomas kaip „Golang“) yra atviro kodo programavimo kalba, kuri dar yra gana nauja. 2007 m. Jį „Google“ sukūrė Robertas Griesemeris, Robas Pike'as ir Kenas Thompsonas, nors oficialiai visuomenei jis buvo pristatytas tik 2009 m.

Jis buvo sukurtas kaip alternatyva C ++ ir Java. Tikslas buvo sukurti tai, kas yra paprasta dirbti ir lengvai skaitoma kūrėjams.

Susijęs: Sužinokite „Android“ kalbą naudodami šiuos „Google Go“ kūrėjų mokymus

Kodėl kibernetiniai nusikaltėliai naudojasi „Golang“?

Šiandien laukinėje gamtoje yra tūkstančiai „Golang“ pagrindu sukurtos kenkėjiškos programos. Tiek valstybės remiamos, tiek nevalstybiškai remiamos įsilaužėlių gaujos ją naudojo daugybei padermių, įskaitant nuotolinės prieigos Trojos arklius (RAT), vagystes, monetų kalnakasius ir robotų tinklus.

Šio tipo kenkėjiškos programos tampa ypač stiprios dėl to, kaip ji gali nukreipti „Windows“, „MacOS“ ir „Linux“ naudodama tą pačią kodų bazę. Tai reiškia, kad kenkėjiškų programų kūrėjas gali vieną kartą parašyti kodą ir tada naudoti šį vieno kodo pagrindą sudarydamas dvejetainius failus kelioms platformoms. Naudojant statinį susiejimą, „Linux“ kūrėjo parašytas kodas gali būti paleistas „Mac“ ar „Windows“.

Mes matėme „go-based“ šifravimo kasyklas, kurios nukreiptos tiek į „Windows“, tiek į „Linux“ mašinas, taip pat daugiaplatformes kriptovaliutos vagystes su trojanų programėlėmis, kurios veikia „MacOS“, „Windows“ ir „Linux“ įrenginiuose.

Be šio universalumo, „Go“ parašytos padermės taip pat pasirodė labai slaptos.

Daugelis sistemų įsiskverbė be aptikimo, daugiausia todėl, kad „Go“ parašyta kenkėjiška programa yra didelė. Be to, dėl statiško susiejimo „Go“ dvejetainiai failai yra palyginti didesni, palyginti su kitomis kalbomis. Daugelis antivirusinės programinės įrangos paslaugų nėra pritaikytos nuskaityti tokius didelius failus.

Be to, daugumai antivirusų sunkiau rasti įtartiną kodą „Go“ dvejetainėje versijoje, nes jie atrodo daug kitaip nei derintuvas, palyginti su kitais, parašytais labiau įprastomis kalbomis.

Tai nepadeda, kad šios programavimo kalbos ypatybės daro „Go binaries“ dar sunkiau atkurti ir analizuoti.

Nors daugelis atvirkštinės inžinerijos įrankių yra gerai pritaikyti analizuojant dvejetainius failus, sudarytus iš C arba C ++, „Go“ pagrindu sukurtos dvejetainės programos vis tiek kelia naujų iššūkių atvirkštiniams inžinieriams. Tai leido išlaikyti ypač mažą kenkėjiškų programų „Golang“ aptikimo lygį.

„Go-Based Malware“ padermės ir atakos vektoriai

Iki 2019 m. Kenkėjiškų programų, parašytų „Go“, aptikimas galėjo būti retas, tačiau pastaraisiais metais nuolat daugėja nemalonių „go-based“ kenkėjiškų programų padermių.

Kenkėjiškų programų tyrėjas rado apie 10 700 unikalių kenkėjiškų programų padermių, parašytų „Go in the wild“. Dažniausiai tai yra RAT ir užpakalinės durys, tačiau pastaraisiais mėnesiais mes taip pat matėme daug klastingų išpirkos programų, parašytų „Go“.

„ElectroRAT“

Vienas iš tokių informacijos vogėjų, parašytų „Golang“, yra itin įkyrus „ElectroRAT“. Nors aplink yra daug tokių nemalonių informacijos vogėjų, šis klastingesnis yra tai, kaip jis nukreiptas į kelias operacines sistemas.

„ElectroRAT“ kampanija, atrasta 2020 m. Gruodžio mėn., Apima daug platformų veikiančią „Go“ pagrįstą kenkėjišką programinę įrangą, turinčią žalingų galimybių arsenalą, kurį naudoja „Linux“, „MacOS“ ir „Windows“ variantai.

Ši kenkėjiška programa gali užrakinti klavišus, daryti ekrano kopijas, įkelti failus iš diskų, atsisiųsti failus ir vykdyti komandas, neskaitant pagrindinio tikslo išeikvoti kriptovaliutų pinigines.

Susijęs: „ElectroRAT“ kenkėjiškos programos, nukreipiančios į kriptovaliutų pinigines

Plati kampanija, kuri, kaip manoma, liko nepastebėta metus, apėmė dar sudėtingesnę taktiką.

Pastarasis apėmė suklastotos svetainės ir suklastotų socialinės žiniasklaidos paskyrų sukūrimą, sukūrus tris atskiras su kriptovaliuta susijusias su trojanais užkrėstas programas (kiekviena iš jų skirta „Windows“, „Linux“ ir „macOS“), reklamuojant užterštas programas šifravimo ir „blockchain“ forumuose, pvz., „Bitcoin Talk“, ir viliojant aukas į trojančią programą internetiniai puslapiai.

Kai vartotojas atsisiunčia ir paleidžia programą, atidaroma GUI, o kenkėjiškos programos įsiskverbia į foną.

RobbinasHoodas

Tai grėsminga išpirkos programa padarė antraštes 2019 m. suluošinus Baltimorės kompiuterinių sistemų miestą.

„Robbinhood“ padermės kibernetiniai nusikaltėliai reikalavo 76 000 USD failams iššifruoti. Vyriausybės sistemos beveik mėnesį buvo teikiamos neprisijungus ir neveikė. Pranešama, kad miestas išleido pradinius 4,6 mln. USD duomenims atgauti paveiktuose kompiuteriuose.

Žala dėl prarastų pajamų miestui galėjo kainuoti brangiau - kitų šaltinių duomenimis, iki 18 mln.

Iš pradžių užkoduotas „Go“ programavimo kalba, „Robbinhood“ išpirkos programa užšifravo aukos duomenis, o tada pridėjo pažeistų failų vardus su plėtiniu .Robbinhood. Tada jis įdėjo vykdomąjį failą ir tekstinį failą į darbalaukį. Teksto byla buvo išpirkos raštas su užpuolikų reikalavimais.

Zebrocy

2020 m. Kenkėjiškų programų operatorius „Sofacy“ sukūrė „Zebrocy“ variantą, kuris parašytas „Go“.

Padermė buvo užmaskuota kaip „Microsoft Word“ dokumentas ir buvo paskleista naudojant COVID-19 sukčiavimo masalus. Jis dirbo kaip atsisiuntėjas, kuris rinko duomenis iš užkrėstos pagrindinės sistemos sistemos, o tada šiuos duomenis įkėlė į komandų ir valdymo serverį.

Susijęs: Saugokitės šių 8 „COVID-19“ elektroninių sukčių

„Zebrocy“ arsenalas, sudarytas iš lašintuvų, užpakalinių durų ir atsisiuntėjų, buvo naudojamas daugelį metų. Bet jo „Go“ variantas buvo atrastas tik 2019 m.

Jį sukūrė valstybės remiamos elektroninių nusikaltimų grupės ir anksčiau jis buvo skirtas užsienio reikalų ministerijoms, ambasadoms ir kitoms vyriausybės organizacijoms.

Daugiau Golang kenkėjiškų programų ateityje

„Go-based“ kenkėjiškos programos tampa vis populiaresnės ir nuolat tampa grėsmės veikėjų programavimo kalba. Dėl savo gebėjimo nukreipti kelias platformas ir ilgai būti nepastebėtiems, tai kelia rimtą grėsmę, į kurią verta atkreipti dėmesį.

Tai reiškia, kad verta pabrėžti, kad turite imtis pagrindinių atsargumo priemonių nuo kenkėjiškų programų. Nespauskite jokių įtartinų nuorodų ir neatsisiųskite priedų iš el. Laiškų ar svetainių, net jei jie yra jūsų šeimos ir draugų (kurie jau gali būti užkrėsti).

Ar kibernetinis saugumas gali neatsilikti? Kenkėjiškų programų ir antivirusinių programų ateitis

Kenkėjiškos programos nuolat tobulėja, todėl antivirusinių programų kūrėjai yra priversti išlaikyti tempą. Pavyzdžiui, kenkėjiškų programų be failų iš esmės nematyti - tai kaip mes galime nuo jos apsiginti?

Apie autorių