自2017年以来,使用Go编程语言编写的恶意软件数量急剧增加了约2,000%。此外,恶意软件生态系统的一个总体趋势也凸显出来:恶意软件开发者逐渐从C和C++转向Go(Go语言是Google于2007年开发并发布的一种编程语言)。虽然第一个基于Go的恶意软件是在2012年被发现的,但Go直到最近几年才在恶意软件中流行起来。“在2019年之前,很少发现用Go编写的恶意软件,但在2019年它变得很普遍,”Intezer在其报告中说。今天,Go(通常也称为Golang)不断突破并被广泛采用。它被黑客甚至安全团队使用,他们经常使用它来创建渗透测试工具包。malware选择Go的原因主要有3个:第一是Go支持跨平台编译。这允许恶意软件开发人员编写一次代码并从同一代码库为多个平台(包括Windows、Mac和Linux)编译二进制文件,这种多功能性通常在许多编程语言中都找不到。第二个原因是安全研究人员仍然难以对基于Go的二进制文件进行分析和逆向工程,这使得基于Go语言编写的恶意程序的检测率较低。第三个原因与Go对处理网络数据包和请求的支持有关。Intezer解释说:“Go有一个编写良好的网络堆栈,易于使用。Go已经成为面向云端的编程语言之一,很多云原生应用都是用它来编写的。例如,Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。所以创建Go的原因之一是希望发明一种更好的语言来取代谷歌内部使用C++网络服务,所以它非常引人注目。”由于恶意软件篡改,组装或发送/接收网络数据包一直很常见,所以Go为恶意软件开发人员提供了他们需要的所有工具,并且很容易看出为什么许多恶意软件开发人员为此放弃了C和C++。这三个原因也是为什么比以往任何时候都多的Go语言恶意软件会使用的主要原因2020年观察。“其中许多恶意软件都是针对Linux和IoT设备的僵尸网络,这些设备会安装加密矿工或将受感染的机器注册到DDoS僵尸网络中,”Intezer说。2020年一些最大和最受欢迎的基于Go的威胁示例包括:(1)民族国家APT恶意软件:Zebrocy——俄罗斯黑客组织APT28去年创建了基于Go的Zebrocy恶意软件版本WellMess——俄罗斯黑客组织APT29在去年部署了基于Go的版本WellMess恶意软件的新升级版本。(2)电子犯罪恶意软件:GOSH——去年8月,Carbanak组织部署了一种名为GOSH的新型RAT,用Go语言编写。Glupteba—2020年出现了新版本的Glupteba加载程序,比以往任何时候都更先进。Bitdefender—看到了一种针对运行OracleWebLogic的Linux服务器的新RAT。CryptoStealer.Go——2020年出现了一种新的和改进的CryptoStealer.Go恶意软件,它以加密货币钱包和浏览器密码为目标。此外,2020年还发现了一个用Go编写的剪贴板窃取程序。(3)Go编写的新型勒索病毒:RobbinHoodNefilimEKANS据报道,Intezer预计Go的使用量在未来几年内会增加。它将继续发展并与C、C++和Python一起成为编写恶意软件的首选编程语言。-已经被apts-and-e-crime-groups采用/
