網絡安全公司 Intezer 發布了一份報告，概述了威脅行為者在 2020 年期間使用 Go 惡意軟件的情況。其中包括對已經活躍多年的惡意軟件和從未被公開報道的惡意軟件的代碼連接和 IoC 的分析。

該報告指出，自 2017 年以來，用 Go 編程語言編碼的惡意軟件菌株數量在過去幾年中急劇增加了約 2000%。這一發現凸顯并證實了惡意軟件生態系統的一個普遍趨勢，即惡意軟件作者已經慢慢從 C 和 C++ 轉向 Go。

第一個基于 Go 的惡意軟件在 2012 年被發現，在此幾年后，Go 才在惡意軟件領域流行起來。報告指出，在 2019 年之前，發現用 Go 編寫的惡意軟件更多的是一種罕見的現象，而在 2019 年期間，它變成了一種日常現象。現如今，Go 語言已經被惡意軟件廣泛采用。 國家級黑客組織( APT)、網絡犯罪操作員甚至連安全團隊都在使用該語言，并經常使用它來創建滲透測試工具包。

而 Golang 之所以出現這種“人氣”驟增的現象，主要原因有三。首先是 Go 支持跨平臺編譯的簡易流程;這使得惡意軟件開發者只需編寫一次代碼，就可以從同一個代碼庫中編譯出多個平臺的二進制文件，讓他們可以從同一個代碼庫中針對 Windows、Mac 和 Linux，這種多功能性是其他許多編程語言通常不具備的。

第二個原因是基于 Go 的二進制文件仍然很難被安全研究人員分析和逆向工程，這使得基于 Go 的惡意軟件的檢出率一直很低。第三個原因與 Go 對網絡數據包和請求工作的支持有關。Intezer 解釋稱：

• "Go 具有編寫良好的網絡堆棧，很容易操作。Go 已經成為云計算的編程語言之一，很多云原生應用都是用它編寫的。例如，Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus 和 Consul 都是用 Go 編寫的。考慮到創建 Go 的原因之一就是發明一種更好的語言來代替 Google 使用的內部 C++ 網絡服務，因此這是有道理的。"

由于惡意軟件菌株通常會一直篡改、組裝或發送/接收網絡數據包，Go 為惡意軟件開發人員提供了他們在一個地方所需的所有工具，這也就很容易理解為什么許多惡意軟件編碼人員都會放棄 C 和 C++ 而使用它。

Intezer 指出，許多惡意軟件(家族)都是針對 Linux 和物聯網設備的僵尸網絡，它們可以安裝加密礦機或將受感染的機器加入 DDoS 僵尸網絡。此外，使用 Go 編寫的勒索軟件似乎也在變得越來越普遍。

在 2020 年看到的一些最大和最流行的基于 Go 的威脅的例子包括(每個類別)：

Nation-state APT malware：

• Zebrocy- 俄羅斯政府資助的組織 APT28 去年為其 Zebrocy 惡意軟件創建了一個基于 Go 的版本。
• WellMess- 俄羅斯政府資助的組織 APT29 去年部署了其基于 Go 的 WellMess 惡意軟件的新升級版本。

E-crime malware：

• GOSH - Carbanak 組織在去年 8 月部署了一個用 Go 編寫的名為 GOSH 的新 RAT。
• Glupteba - 2020 年出現了新版本的 Glupteba loader，比以往任何時候都先進。
• Bitdefender 看到了一個針對運行 Oracle WebLogic 的 Linux 服務器的新 RAT。
• CryptoStealer.Go - 2020 年出現了新的改進版 CryptoStealer.Go 惡意軟件，此惡意軟件的目標是加密貨幣錢包和瀏覽器密碼。

此外，在 2020 年還發現了一個用 Go 語言編寫的 clipboard stealer。

基于 Go 編寫的新勒索軟件菌株：

• RobbinHood
• Nefilim
• EKANS

鑒于其最近的發現，Intezer 與其他公司一起，預計 Golang 的使用率在未來幾年將繼續上升，并與 C、C++ 和 Python一起，成為未來惡意軟件編碼的首選編程語言。

本文轉自OSCHINA

本文標題：基于 Go 編寫的惡意軟件數量激增 2000%

本文地址：https://www.oschina.net/news/131384/go-malware-2020