Was Sie über Golang-basierte Malware wissen müssen

Golang wird für viele Malware-Entwickler zur bevorzugten Programmiersprache. Laut dem Cybersicherheitsunternehmen Intezer ist die Anzahl der in freier Wildbahn vorkommenden Go-basierten Malware-Stämme in freier Wildbahn seit 2017 um fast 2000 Prozent gestiegen.

Die Anzahl der Angriffe mit dieser Art von Malware wird voraussichtlich in den nächsten Jahren zunehmen. Am alarmierendsten ist, dass wir viele Bedrohungsakteure sehen, die auf mehrere Betriebssysteme mit Belastungen aus einer einzigen Go-Codebasis abzielen.

Hier finden Sie alles, was Sie über diese aufkommende Bedrohung wissen müssen.

Was ist Golang?

Go (a.k.a. Golang) ist eine Open-Source-Programmiersprache, die noch relativ neu ist. Es wurde 2007 von Robert Griesemer, Rob Pike und Ken Thompson bei Google entwickelt, obwohl es erst 2009 offiziell der Öffentlichkeit vorgestellt wurde.

Es wurde als Alternative zu C ++ und Java entwickelt. Das Ziel war es, etwas zu schaffen, mit dem man einfach arbeiten und das für Entwickler leicht zu lesen ist.

Verbunden: Lernen Sie die Sprache von Android mit diesem Google Go-Entwicklertraining

Warum benutzen Cyberkriminelle Golang?

Es gibt heute Tausende von Golang-basierter Malware in freier Wildbahn. Sowohl staatlich geförderte als auch nicht staatlich geförderte Hacking-Banden haben damit eine Vielzahl von Stämmen hergestellt, darunter RATs (Remote Access Trojaner), Stealer, Coin Miner und Botnets.

Was diese Art von Malware besonders leistungsfähig macht, ist die Art und Weise, wie sie mit derselben Codebasis auf Windows, MacOS und Linux abzielen kann. Dies bedeutet, dass ein Malware-Entwickler einmal Code schreiben und dann diese einzelne Codebasis verwenden kann, um Binärdateien für mehrere Plattformen zu kompilieren. Mithilfe der statischen Verknüpfung kann ein von einem Entwickler für Linux geschriebener Code auf Mac oder Windows ausgeführt werden.

Wir haben Go-basierte Crypto Miner gesehen, die sowohl auf Windows- und Linux-Computer als auch auf Multi-Plattform-Cryptocurrency-Stealer mit Trojaner-Apps abzielen, die auf MacOS-, Windows- und Linux-Geräten ausgeführt werden.

Abgesehen von dieser Vielseitigkeit haben sich in Go geschriebene Stämme auch als sehr verstohlen erwiesen.

Viele haben Systeme ohne Erkennung infiltriert, hauptsächlich weil in Go geschriebene Malware groß ist. Auch aufgrund der statischen Verknüpfung sind die Binärdateien in Go im Vergleich zu denen anderer Sprachen relativ größer. Viele Antivirensoftware-Dienste sind nicht zum Scannen von so umfangreichen Dateien ausgestattet.

Darüber hinaus ist es für die meisten Antivirenprogramme schwieriger, verdächtigen Code in Go-Binärdateien zu finden, da sie unter einem Debugger ganz anders aussehen als andere, die in gängigeren Sprachen geschrieben sind.

Es hilft nicht, dass die Funktionen dieser Programmiersprache die Rückentwicklung und Analyse von Go-Binärdateien noch schwieriger machen.

Während viele Reverse Engineering-Tools für die Analyse von aus C oder C ++ kompilierten Binärdateien gut gerüstet sind, stellen Go-basierte Binärdateien Reverse Engineers immer noch vor neue Herausforderungen. Dies hat die Erkennungsraten von Golang-Malware besonders niedrig gehalten.

Go-basierte Malware-Stämme und Angriffsvektoren

Vor 2019 war das Erkennen von in Go geschriebener Malware zwar selten, aber in den letzten Jahren hat die Anzahl bösartiger Malware-Stämme auf Go-Basis stetig zugenommen.

Ein Malware-Forscher hat rund 10.700 einzigartige Malware-Stämme gefunden, die in Go in the wild geschrieben wurden. Die am weitesten verbreiteten sind RATs und Backdoors, aber in den letzten Monaten haben wir auch eine Menge heimtückischer Ransomware gesehen, die in Go geschrieben wurde.

ElectroRAT

Ein solcher in Golang geschriebener Info-Stealer ist der extrem aufdringliche ElectroRAT. Zwar gibt es viele dieser fiesen Info-Stealer, aber was diesen noch heimtückischer macht, ist die Art und Weise, wie er auf mehrere Betriebssysteme abzielt.

Die im Dezember 2020 entdeckte ElectroRAT-Kampagne enthält plattformübergreifende Go-basierte Malware, die über ein Arsenal bösartiger Funktionen verfügt, die von Linux-, MacOS- und Windows-Varianten gemeinsam genutzt werden.

Diese Malware ist in der Lage, Keylogging zu betreiben, Screenshots zu machen, Dateien von Datenträgern hochzuladen, Dateien herunterzuladen und Befehle auszuführen, abgesehen von ihrem ultimativen Ziel, Kryptowährungs-Wallets zu entleeren.

Verbunden: ElectroRAT Malware Targeting Cryptocurrency Wallets

Die umfangreiche Kampagne, von der angenommen wird, dass sie ein Jahr lang unentdeckt geblieben ist, beinhaltete noch ausgefeiltere Taktiken.

Letzteres beinhaltete das Erstellen einer gefälschten Website und gefälschter Social-Media-Konten sowie das Erstellen von drei separaten, mit Trojanern infizierten Apps im Zusammenhang mit Kryptowährung (jeweils) auf Windows, Linux und macOS abzielen), die verdorbenen Apps in Krypto- und Blockchain-Foren wie Bitcoin Talk bewerben und Opfer zu den trojanisierten Apps locken Webseiten.

Sobald ein Benutzer die App herunterlädt und dann ausführt, wird eine grafische Benutzeroberfläche geöffnet, während die Malware im Hintergrund infiltriert.

RobbinHood

Dies unheimliche Ransomware machte 2019 Schlagzeilen, nachdem er die Computersysteme der Stadt Baltimore lahmgelegt hatte.

Die Cyberkriminellen hinter dem Robbinhood-Stamm verlangten 76.000 US-Dollar, um die Dateien zu entschlüsseln. Die Systeme der Regierung wurden fast einen Monat lang offline und außer Betrieb genommen. Berichten zufolge gab die Stadt zunächst 4,6 Millionen US-Dollar aus, um die Daten auf den betroffenen Computern wiederherzustellen.

Schäden aufgrund von Einnahmeverlusten haben die Stadt möglicherweise mehr gekostet - laut anderen Quellen bis zu 18 Millionen US-Dollar.

Ursprünglich in der Programmiersprache Go codiert, verschlüsselte die Robbinhood-Ransomware die Daten des Opfers und fügte dann die Dateinamen kompromittierter Dateien mit der Erweiterung .Robbinhood hinzu. Anschließend wurden eine ausführbare Datei und eine Textdatei auf dem Desktop abgelegt. Die Textdatei war der Lösegeldschein mit den Forderungen der Angreifer.

Zebrocy

Im Jahr 2020 entwickelte der Malware-Betreiber Sofacy eine Zebrocy-Variante, die in Go geschrieben wurde.

Der Stamm tarnte sich als Microsoft Word-Dokument und wurde mit COVID-19-Phishingködern verbreitet. Es fungierte als Downloader, der Daten vom infizierten Hostsystem sammelte und diese Daten dann auf den Command-and-Control-Server hochlud.

Verbunden: Achten Sie auf diese 8 COVID-19-Cyber-Betrügereien

Das Zebrocy-Arsenal, bestehend aus Tropfern, Hintertüren und Downloadern, wird seit vielen Jahren verwendet. Die Go-Variante wurde jedoch erst 2019 entdeckt.

Es wurde von staatlich unterstützten Cybercrime-Gruppen entwickelt und war zuvor auf Außenministerien, Botschaften und andere Regierungsorganisationen ausgerichtet.

Weitere Golang-Malware für die Zukunft

Go-basierte Malware erfreut sich zunehmender Beliebtheit und wird kontinuierlich zur bevorzugten Programmiersprache für Bedrohungsakteure. Seine Fähigkeit, auf mehrere Plattformen abzuzielen und lange Zeit unentdeckt zu bleiben, macht es zu einer ernsthaften Bedrohung, die Aufmerksamkeit verdient.

Das heißt, es lohnt sich hervorzuheben, dass Sie grundlegende Vorsichtsmaßnahmen gegen Malware treffen müssen. Klicken Sie nicht auf verdächtige Links und laden Sie keine Anhänge von E-Mails oder Websites herunter - auch wenn diese von Ihrer Familie und Ihren Freunden stammen (die möglicherweise bereits infiziert sind).

Kann Cybersicherheit mithalten? Die Zukunft von Malware und Antivirus

Malware entwickelt sich ständig weiter und zwingt Antiviren-Entwickler, Schritt zu halten. Beispielsweise ist dateifreie Malware im Wesentlichen unsichtbar. Wie können wir uns dagegen verteidigen?

Über den Autor