網(wǎng)絡(luò)安全公司 Intezer 發(fā)布了一份報(bào)告，概述了威脅行為者在 2020 年期間使用 Go 惡意軟件的情況。其中包括對(duì)已經(jīng)活躍多年的惡意軟件和從未被公開報(bào)道的惡意軟件的代碼連接和 IoC 的分析。

該報(bào)告指出，自 2017 年以來，用 Go 編程語言編碼的惡意軟件菌株數(shù)量在過去幾年中急劇增加了約 2000%。這一發(fā)現(xiàn)凸顯并證實(shí)了惡意軟件生態(tài)系統(tǒng)的一個(gè)普遍趨勢(shì)，即惡意軟件作者已經(jīng)慢慢從 C 和 C++ 轉(zhuǎn)向 Go。

第一個(gè)基于 Go 的惡意軟件在 2012 年被發(fā)現(xiàn)，在此幾年后，Go 才在惡意軟件領(lǐng)域流行起來。報(bào)告指出，在 2019 年之前，發(fā)現(xiàn)用 Go 編寫的惡意軟件更多的是一種罕見的現(xiàn)象，而在 2019 年期間，它變成了一種日常現(xiàn)象。現(xiàn)如今，Go 語言已經(jīng)被惡意軟件廣泛采用。 國(guó)家級(jí)黑客組織( APT)、網(wǎng)絡(luò)犯罪操作員甚至連安全團(tuán)隊(duì)都在使用該語言，并經(jīng)常使用它來創(chuàng)建滲透測(cè)試工具包。

而 Golang 之所以出現(xiàn)這種“人氣”驟增的現(xiàn)象，主要原因有三。首先是 Go 支持跨平臺(tái)編譯的簡(jiǎn)易流程;這使得惡意軟件開發(fā)者只需編寫一次代碼，就可以從同一個(gè)代碼庫中編譯出多個(gè)平臺(tái)的二進(jìn)制文件，讓他們可以從同一個(gè)代碼庫中針對(duì) Windows、Mac 和 Linux，這種多功能性是其他許多編程語言通常不具備的。

第二個(gè)原因是基于 Go 的二進(jìn)制文件仍然很難被安全研究人員分析和逆向工程，這使得基于 Go 的惡意軟件的檢出率一直很低。第三個(gè)原因與 Go 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包和請(qǐng)求工作的支持有關(guān)。Intezer 解釋稱：

• "Go 具有編寫良好的網(wǎng)絡(luò)堆棧，很容易操作。Go 已經(jīng)成為云計(jì)算的編程語言之一，很多云原生應(yīng)用都是用它編寫的。例如，Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus 和 Consul 都是用 Go 編寫的。考慮到創(chuàng)建 Go 的原因之一就是發(fā)明一種更好的語言來代替 Google 使用的內(nèi)部 C++ 網(wǎng)絡(luò)服務(wù)，因此這是有道理的。"

由于惡意軟件菌株通常會(huì)一直篡改、組裝或發(fā)送/接收網(wǎng)絡(luò)數(shù)據(jù)包，Go 為惡意軟件開發(fā)人員提供了他們?cè)谝粋€(gè)地方所需的所有工具，這也就很容易理解為什么許多惡意軟件編碼人員都會(huì)放棄 C 和 C++ 而使用它。

Intezer 指出，許多惡意軟件(家族)都是針對(duì) Linux 和物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)，它們可以安裝加密礦機(jī)或?qū)⑹芨腥镜臋C(jī)器加入 DDoS 僵尸網(wǎng)絡(luò)。此外，使用 Go 編寫的勒索軟件似乎也在變得越來越普遍。

在 2020 年看到的一些最大和最流行的基于 Go 的威脅的例子包括(每個(gè)類別)：

Nation-state APT malware：

• Zebrocy- 俄羅斯政府資助的組織 APT28 去年為其 Zebrocy 惡意軟件創(chuàng)建了一個(gè)基于 Go 的版本。
• WellMess- 俄羅斯政府資助的組織 APT29 去年部署了其基于 Go 的 WellMess 惡意軟件的新升級(jí)版本。

E-crime malware：

• GOSH - Carbanak 組織在去年 8 月部署了一個(gè)用 Go 編寫的名為 GOSH 的新 RAT。
• Glupteba - 2020 年出現(xiàn)了新版本的 Glupteba loader，比以往任何時(shí)候都先進(jìn)。
• Bitdefender 看到了一個(gè)針對(duì)運(yùn)行 Oracle WebLogic 的 Linux 服務(wù)器的新 RAT。
• CryptoStealer.Go - 2020 年出現(xiàn)了新的改進(jìn)版 CryptoStealer.Go 惡意軟件，此惡意軟件的目標(biāo)是加密貨幣錢包和瀏覽器密碼。

此外，在 2020 年還發(fā)現(xiàn)了一個(gè)用 Go 語言編寫的 clipboard stealer。

基于 Go 編寫的新勒索軟件菌株：

• RobbinHood
• Nefilim
• EKANS

鑒于其最近的發(fā)現(xiàn)，Intezer 與其他公司一起，預(yù)計(jì) Golang 的使用率在未來幾年將繼續(xù)上升，并與 C、C++ 和 Python一起，成為未來惡意軟件編碼的首選編程語言。

本文地址：https://www.oschina.net/news/131384/go-malware-2020