本文轉載自微信公眾號“安數網絡”（anshunet）。

網絡安全公司Intezer發布一份報告稱，自2017年以來，使用Go編程語言編碼的惡意軟件數量急劇增加了2,000%左右。此外，還突顯出惡意軟件生態系統的總體趨勢：惡意軟件開發人員已逐漸從C和C ++轉向Go(Go語言是由Google在2007年開發和發布的編程語言)。

雖然在2012年才發現了第一個基于Go的惡意軟件，但是Go是在近幾年的時間里才逐漸在惡意軟件中流行的。Intezer在其報告中說：“在2019年之前，發現用Go編寫的惡意軟件的情況很少見，但在2019年則變成了普遍現象。”而在今天，Go(通常也被稱為Golang)已經不斷突破并被廣泛采用。黑客甚至安全團隊都使用它，他們經常使用它來創建滲透測試工具包。

惡意軟件選擇Go的主要原因有三個：

• 首先是Go支持跨平臺編譯。這讓惡意軟件開發人員可以只編寫一次代碼，并從同一代碼庫中編譯出多個平臺的二進制文件，包括Windows，Mac和Linux，這是很多編程語言通常所不具備的多功能性。

• 第二個原因是安全研究人員仍然很難對基于Go的二進制文件進行分析和逆向工程，這使得基于Go語言編寫的惡意程序檢出率一直很低。

• 第三個原因與Go支持使用網絡數據包和請求工作有關。Intezer解釋：“Go具有編寫良好的網絡棧，易于使用。Go已經成為云的編程語言之一，很多云原生應用都是用它編寫的。例如，Docker，Kubernetes，InfluxDB，Traefik，Terraform，CockroachDB，Prometheus和Consul都是用Go編寫的。因此，創建Go的原因之一就是希望發明一種更好的語言來代替Google內部使用C ++網絡服務，因此是很有說服力的。”

由于惡意軟件通常會一直篡改，組裝或發送/接收網絡數據包，因此Go為惡意軟件開發人員提供了所需的所有工具，這些很容易看出為什么許多惡意軟件開發者為此放棄了C和C ++。這三個原因也是為什么在2020年會觀察到如此比以往更多的Go語言惡意軟件的主要原因。

Intezer說：“這些惡意軟件中有許多是針對Linux和IoT設備的僵尸網絡，它們可以安裝加密礦工或將受感染的機器注冊到DDoS僵尸網絡中。

在2020年看到的一些最大和最流行的基于Go的威脅的例子包括：

(1) Nation-state APT malware：

• Zebrocy—俄羅斯黑客組織APT28去年為其Zebrocy惡意軟件創建了一個基于Go的版本。
• WellMess —俄羅斯黑客組織APT29去年部署了其基于Go的WellMess惡意軟件的新升級版本。

(2) 

E-crime malware：

• GOSH —Carbanak 組織在去年 8 月部署了一個用 Go 編寫的名為 GOSH 的新 RAT。
• Glupteba —2020 年出現了新版本的 Glupteba loader，比以往任何時候都先進。
• Bitdefender —看到了一個針對運行 Oracle WebLogic 的 Linux 服務器的新 RAT。
• CryptoStealer.Go —2020 年出現了新的改進版 CryptoStealer.Go 惡意軟件，此惡意軟件的目標是加密貨幣錢包和瀏覽器密碼。
• 此外，在 2020 年還發現了一個用 Go 語言編寫的 clipboard stealer。

(3) Go編寫的新勒索軟件病毒：

• RobbinHood
• Nefilim
• EKANS

根據報告顯示，Intezer預計Go的使用在未來幾年中還會持續增長，并與C，C ++和Python一起，成為編碼惡意軟件的首選編程語言。

本文翻譯自：

https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/