本文轉(zhuǎn)載自微信公眾號(hào)“安數(shù)網(wǎng)絡(luò)”（anshunet）。

網(wǎng)絡(luò)安全公司Intezer發(fā)布一份報(bào)告稱，自2017年以來(lái)，使用Go編程語(yǔ)言編碼的惡意軟件數(shù)量急劇增加了2,000%左右。此外，還突顯出惡意軟件生態(tài)系統(tǒng)的總體趨勢(shì)：惡意軟件開(kāi)發(fā)人員已逐漸從C和C ++轉(zhuǎn)向Go(Go語(yǔ)言是由Google在2007年開(kāi)發(fā)和發(fā)布的編程語(yǔ)言)。

雖然在2012年才發(fā)現(xiàn)了第一個(gè)基于Go的惡意軟件，但是Go是在近幾年的時(shí)間里才逐漸在惡意軟件中流行的。Intezer在其報(bào)告中說(shuō)：“在2019年之前，發(fā)現(xiàn)用Go編寫的惡意軟件的情況很少見(jiàn)，但在2019年則變成了普遍現(xiàn)象。”而在今天，Go(通常也被稱為Golang)已經(jīng)不斷突破并被廣泛采用。黑客甚至安全團(tuán)隊(duì)都使用它，他們經(jīng)常使用它來(lái)創(chuàng)建滲透測(cè)試工具包。

惡意軟件選擇Go的主要原因有三個(gè)：

• 首先是Go支持跨平臺(tái)編譯。這讓惡意軟件開(kāi)發(fā)人員可以只編寫一次代碼，并從同一代碼庫(kù)中編譯出多個(gè)平臺(tái)的二進(jìn)制文件，包括Windows，Mac和Linux，這是很多編程語(yǔ)言通常所不具備的多功能性。

• 第二個(gè)原因是安全研究人員仍然很難對(duì)基于Go的二進(jìn)制文件進(jìn)行分析和逆向工程，這使得基于Go語(yǔ)言編寫的惡意程序檢出率一直很低。

• 第三個(gè)原因與Go支持使用網(wǎng)絡(luò)數(shù)據(jù)包和請(qǐng)求工作有關(guān)。Intezer解釋：“Go具有編寫良好的網(wǎng)絡(luò)棧，易于使用。Go已經(jīng)成為云的編程語(yǔ)言之一，很多云原生應(yīng)用都是用它編寫的。例如，Docker，Kubernetes，InfluxDB，Traefik，Terraform，CockroachDB，Prometheus和Consul都是用Go編寫的。因此，創(chuàng)建Go的原因之一就是希望發(fā)明一種更好的語(yǔ)言來(lái)代替Google內(nèi)部使用C ++網(wǎng)絡(luò)服務(wù)，因此是很有說(shuō)服力的。”

由于惡意軟件通常會(huì)一直篡改，組裝或發(fā)送/接收網(wǎng)絡(luò)數(shù)據(jù)包，因此Go為惡意軟件開(kāi)發(fā)人員提供了所需的所有工具，這些很容易看出為什么許多惡意軟件開(kāi)發(fā)者為此放棄了C和C ++。這三個(gè)原因也是為什么在2020年會(huì)觀察到如此比以往更多的Go語(yǔ)言惡意軟件的主要原因。

Intezer說(shuō)：“這些惡意軟件中有許多是針對(duì)Linux和IoT設(shè)備的僵尸網(wǎng)絡(luò)，它們可以安裝加密礦工或?qū)⑹芨腥镜臋C(jī)器注冊(cè)到DDoS僵尸網(wǎng)絡(luò)中。

在2020年看到的一些最大和最流行的基于Go的威脅的例子包括：

(1) Nation-state APT malware：

• Zebrocy—俄羅斯黑客組織APT28去年為其Zebrocy惡意軟件創(chuàng)建了一個(gè)基于Go的版本。
• WellMess —俄羅斯黑客組織APT29去年部署了其基于Go的WellMess惡意軟件的新升級(jí)版本。

(2) 

E-crime malware：

• GOSH —Carbanak 組織在去年 8 月部署了一個(gè)用 Go 編寫的名為 GOSH 的新 RAT。
• Glupteba —2020 年出現(xiàn)了新版本的 Glupteba loader，比以往任何時(shí)候都先進(jìn)。
• Bitdefender —看到了一個(gè)針對(duì)運(yùn)行 Oracle WebLogic 的 Linux 服務(wù)器的新 RAT。
• CryptoStealer.Go —2020 年出現(xiàn)了新的改進(jìn)版 CryptoStealer.Go 惡意軟件，此惡意軟件的目標(biāo)是加密貨幣錢包和瀏覽器密碼。
• 此外，在 2020 年還發(fā)現(xiàn)了一個(gè)用 Go 語(yǔ)言編寫的 clipboard stealer。

(3) Go編寫的新勒索軟件病毒：

• RobbinHood
• Nefilim
• EKANS

根據(jù)報(bào)告顯示，Intezer預(yù)計(jì)Go的使用在未來(lái)幾年中還會(huì)持續(xù)增長(zhǎng)，并與C，C ++和Python一起，成為編碼惡意軟件的首選編程語(yǔ)言。

本文翻譯自：

https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/