本文轉(zhuǎn)載自微信公眾號“安數(shù)網(wǎng)絡(luò)”（anshunet）。

網(wǎng)絡(luò)安全公司Intezer發(fā)布一份報告稱，自2017年以來，使用Go編程語言編碼的惡意軟件數(shù)量急劇增加了2,000%左右。此外，還突顯出惡意軟件生態(tài)系統(tǒng)的總體趨勢：惡意軟件開發(fā)人員已逐漸從C和C ++轉(zhuǎn)向Go(Go語言是由Google在2007年開發(fā)和發(fā)布的編程語言)。

雖然在2012年才發(fā)現(xiàn)了第一個基于Go的惡意軟件，但是Go是在近幾年的時間里才逐漸在惡意軟件中流行的。Intezer在其報告中說：“在2019年之前，發(fā)現(xiàn)用Go編寫的惡意軟件的情況很少見，但在2019年則變成了普遍現(xiàn)象。”而在今天，Go(通常也被稱為Golang)已經(jīng)不斷突破并被廣泛采用。黑客甚至安全團(tuán)隊都使用它，他們經(jīng)常使用它來創(chuàng)建滲透測試工具包。

惡意軟件選擇Go的主要原因有三個：

• 首先是Go支持跨平臺編譯。這讓惡意軟件開發(fā)人員可以只編寫一次代碼，并從同一代碼庫中編譯出多個平臺的二進(jìn)制文件，包括Windows，Mac和Linux，這是很多編程語言通常所不具備的多功能性。

• 第二個原因是安全研究人員仍然很難對基于Go的二進(jìn)制文件進(jìn)行分析和逆向工程，這使得基于Go語言編寫的惡意程序檢出率一直很低。

• 第三個原因與Go支持使用網(wǎng)絡(luò)數(shù)據(jù)包和請求工作有關(guān)。Intezer解釋：“Go具有編寫良好的網(wǎng)絡(luò)棧，易于使用。Go已經(jīng)成為云的編程語言之一，很多云原生應(yīng)用都是用它編寫的。例如，Docker，Kubernetes，InfluxDB，Traefik，Terraform，CockroachDB，Prometheus和Consul都是用Go編寫的。因此，創(chuàng)建Go的原因之一就是希望發(fā)明一種更好的語言來代替Google內(nèi)部使用C ++網(wǎng)絡(luò)服務(wù)，因此是很有說服力的。”

由于惡意軟件通常會一直篡改，組裝或發(fā)送/接收網(wǎng)絡(luò)數(shù)據(jù)包，因此Go為惡意軟件開發(fā)人員提供了所需的所有工具，這些很容易看出為什么許多惡意軟件開發(fā)者為此放棄了C和C ++。這三個原因也是為什么在2020年會觀察到如此比以往更多的Go語言惡意軟件的主要原因。

Intezer說：“這些惡意軟件中有許多是針對Linux和IoT設(shè)備的僵尸網(wǎng)絡(luò)，它們可以安裝加密礦工或?qū)⑹芨腥镜臋C(jī)器注冊到DDoS僵尸網(wǎng)絡(luò)中。

在2020年看到的一些最大和最流行的基于Go的威脅的例子包括：

(1) Nation-state APT malware：

• Zebrocy—俄羅斯黑客組織APT28去年為其Zebrocy惡意軟件創(chuàng)建了一個基于Go的版本。
• WellMess —俄羅斯黑客組織APT29去年部署了其基于Go的WellMess惡意軟件的新升級版本。

(2) 

E-crime malware：

• GOSH —Carbanak 組織在去年 8 月部署了一個用 Go 編寫的名為 GOSH 的新 RAT。
• Glupteba —2020 年出現(xiàn)了新版本的 Glupteba loader，比以往任何時候都先進(jìn)。
• Bitdefender —看到了一個針對運(yùn)行 Oracle WebLogic 的 Linux 服務(wù)器的新 RAT。
• CryptoStealer.Go —2020 年出現(xiàn)了新的改進(jìn)版 CryptoStealer.Go 惡意軟件，此惡意軟件的目標(biāo)是加密貨幣錢包和瀏覽器密碼。
• 此外，在 2020 年還發(fā)現(xiàn)了一個用 Go 語言編寫的 clipboard stealer。

(3) Go編寫的新勒索軟件病毒：

• RobbinHood
• Nefilim
• EKANS

根據(jù)報告顯示，Intezer預(yù)計Go的使用在未來幾年中還會持續(xù)增長，并與C，C ++和Python一起，成為編碼惡意軟件的首選編程語言。

本文翻譯自：

https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/