Golang Tabanlı Kötü Amaçlı Yazılım Hakkında Bilmeniz Gerekenler

Golang, birçok kötü amaçlı yazılım geliştiricisi için tercih edilen programlama dili haline geliyor. Siber güvenlik firması Intezer'e göre, 2017'den bu yana vahşi ortamda bulunan Go tabanlı kötü amaçlı yazılım türlerinin sayısında neredeyse yüzde 2000'lik bir artış var.

Bu tür kötü amaçlı yazılımları kullanan saldırıların sayısının önümüzdeki birkaç yıl içinde artması bekleniyor. En endişe verici olan şey, tek bir Go kod tabanından gelen zorlamalarla birden çok işletim sistemini hedefleyen birçok tehdit aktörü görüyor olmamızdır.

Yeni ortaya çıkan bu tehdit hakkında bilmeniz gereken diğer her şey burada.

Golang nedir?

Go (aka Golang), hala nispeten yeni olan açık kaynaklı bir programlama dilidir. Robert Griesemer, Rob Pike ve Ken Thompson tarafından 2007'de Google'da geliştirildi, ancak resmi olarak halka sadece 2009'da tanıtıldı.

C ++ ve Java'ya alternatif olarak geliştirilmiştir. Amaç, geliştiriciler için kullanımı kolay ve okuması kolay bir şey yaratmaktı.

İlişkili: Bu Google Go Geliştirici Eğitimi ile Android'in Dilini Öğrenin

Siber Suçlular Golang'ı Neden Kullanıyor?

Bugün vahşi doğada binlerce Golang tabanlı kötü amaçlı yazılım var. Hem devlet destekli hem de devlet destekli olmayan bilgisayar korsanlığı çeteleri, Uzaktan Erişim Truva Atları (RAT'lar), hırsızlar, madeni para madencileri ve diğerlerinin yanı sıra botnet'ler de dahil olmak üzere bir dizi tür üretmek için kullanıyor.

Bu tür kötü amaçlı yazılımları daha güçlü kılan, aynı kod tabanını kullanarak Windows, macOS ve Linux'u hedefleyebilmesidir. Bu, bir kötü amaçlı yazılım geliştiricisinin bir kez kod yazabileceği ve ardından bu tek kod tabanını birden çok platform için ikili dosyalar derlemek için kullanabileceği anlamına gelir. Statik bağlamayı kullanarak, Linux için bir geliştirici tarafından yazılan bir kod Mac veya Windows'ta çalışabilir.

Hem Windows hem de Linux makinelerini hedefleyen go tabanlı kripto madencilerinin yanı sıra macOS, Windows ve Linux cihazlarda çalışan truva atı uygulamalarıyla çok platformlu kripto para hırsızlarını gördük.

Bu çok yönlülüğün yanı sıra, Go'da yazılan türlerin de çok gizli olduğu kanıtlanmıştır.

Çoğu, Go'da yazılan kötü amaçlı yazılımların büyük olması nedeniyle tespit edilmeden sistemlere sızmıştır. Ayrıca statik bağlantı nedeniyle, Go'daki ikili dosyalar diğer dillerdekilere kıyasla nispeten daha büyüktür. Birçok virüsten koruma yazılımı hizmeti, bu kadar büyük dosyaları tarayacak donanıma sahip değildir.

Dahası, çoğu antivirüsün Go ikili programında şüpheli kod bulması daha zordur, çünkü bunlar daha yaygın dillerde yazılanlara kıyasla bir hata ayıklayıcı altında çok farklı görünür.

Bu programlama dilinin özelliklerinin Go ikili programlarını tersine mühendislik ve analiz etmeyi daha da zorlaştırmasına yardımcı olmuyor.

Pek çok tersine mühendislik aracı, C veya C ++ 'dan derlenen ikili dosyaları analiz etmede iyi donanımlı olsa da, Go tabanlı ikili dosyalar tersine mühendisler için hala yeni zorluklar sunmaktadır. Bu, Golang kötü amaçlı yazılımlarının tespit oranlarını oldukça düşük tuttu.

Go Tabanlı Kötü Amaçlı Yazılım Türleri ve Saldırı Vektörleri

2019'dan önce, Go'da yazılan kötü amaçlı yazılımları tespit etmek nadirdi, ancak son yıllarda kötü amaçlı go tabanlı kötü amaçlı yazılım türlerinde sürekli bir artış oldu.

Kötü amaçlı yazılım araştırmacısı Go'da vahşi ortamda yazılmış yaklaşık 10.700 benzersiz kötü amaçlı yazılım türü buldu. Bunlardan en yaygın olanları RAT'lar ve arka kapılardır, ancak son aylarda Go'da yazılmış çok sayıda sinsi fidye yazılımı gördük.

ElectroRAT

Golang'da yazılmış böyle bir bilgi hırsızı, son derece müdahaleci ElectroRAT'tır. Etrafta bu iğrenç bilgi hırsızlarının birçoğu varken, bunu daha sinsi yapan şey, birden fazla işletim sistemini nasıl hedeflediğidir.

Aralık 2020'de keşfedilen ElectroRAT kampanyası, Linux, macOS ve Windows varyantı tarafından paylaşılan bir kısır yetenekler cephaneliğine sahip çapraz platform Go tabanlı kötü amaçlı yazılım içeriyor.

Bu kötü amaçlı yazılım, kripto para birimi cüzdanlarını boşaltma nihai amacının yanı sıra keylogging, ekran görüntüsü alma, disklerden dosya yükleme, dosya indirme ve komutları çalıştırma yeteneğine sahiptir.

İlişkili: ElectroRAT Kötü Amaçlı Yazılım Hedefleme Kripto Para Birimi Cüzdanları

Bir yıl boyunca fark edilmediğine inanılan kapsamlı kampanya, daha da ayrıntılı taktikler içeriyordu.

İkincisi, sahte bir web sitesi ve sahte sosyal medya hesapları oluşturmayı, kripto para birimiyle ilgili üç ayrı truva atı bulaşmış uygulama oluşturmayı içeriyordu (her biri Windows, Linux ve macOS'u hedefleyerek), Bitcoin Talk gibi kripto ve blok zinciri forumlarında bozuk uygulamaları tanıtmak ve kurbanları truva atı haline getirilmiş uygulamaların internet sayfaları.

Bir kullanıcı uygulamayı indirip çalıştırdıktan sonra, kötü amaçlı yazılım arka planda sızarken bir GUI açılır.

RobbinHood

Bu uğursuz fidye yazılımı Baltimore şehrinin bilgisayar sistemlerini felce uğrattıktan sonra 2019'da manşetlere çıktı.

Robbinhood türünün arkasındaki siber suçlular, dosyaların şifresini çözmek için 76.000 $ talep etti. Hükümetin sistemleri neredeyse bir ay boyunca çevrimdışı ve hizmet dışı kaldı ve bildirildiğine göre şehir, etkilenen bilgisayarlardaki verileri kurtarmak için ilk 4,6 milyon dolar harcadı.

Gelir kaybından kaynaklanan hasarlar şehre daha pahalıya mal olmuş olabilir - diğer kaynaklara göre 18 milyon dolara kadar.

Başlangıçta Go programlama dilinde kodlanan Robbinhood fidye yazılımı, kurbanın verilerini şifreledi ve ardından güvenliği ihlal edilen dosyaların dosya adlarını .Robbinhood uzantısıyla ekledi. Daha sonra masaüstüne çalıştırılabilir bir dosya ve metin dosyası yerleştirdi. Metin dosyası, saldırganların taleplerinin yer aldığı fidye notuydu.

Zebrocy

2020'de kötü amaçlı yazılım operatörü Sofacy, Go'da yazılmış bir Zebrocy varyantı geliştirdi.

Bu tür bir Microsoft Word belgesi gibi göründü ve COVID-19 kimlik avı tuzakları kullanılarak yayıldı. Virüs bulaşmış ana bilgisayarın sisteminden veri toplayan ve ardından bu verileri komut ve kontrol sunucusuna yükleyen bir indirici olarak çalıştı.

İlişkili: Bu 8 COVID-19 Siber Dolandırıcılığına Dikkat Edin

Damlalıklar, arka kapılar ve indiricilerden oluşan Zebrocy cephaneliği uzun yıllardır kullanılıyor. Ancak Go versiyonu yalnızca 2019'da keşfedildi.

Devlet destekli siber suç grupları tarafından geliştirildi ve daha önce dışişleri bakanlıklarını, büyükelçilikleri ve diğer hükümet kuruluşlarını hedef aldı.

Daha Fazla Golang Kötü Amaçlı Yazılım Gelecekte Gelecek

Go tabanlı kötü amaçlı yazılımların popülaritesi artıyor ve sürekli olarak tehdit aktörleri için başvurulacak programlama dili haline geliyor. Birden fazla platformu hedefleyebilmesi ve uzun süre tespit edilmeden kalabilmesi, onu dikkate değer ciddi bir tehdit haline getiriyor.

Bu, kötü amaçlı yazılımlara karşı temel önlemleri almanız gerektiğini vurgulamanın faydalı olduğu anlamına gelir. Şüpheli bağlantıları tıklamayın veya e-postalardan veya web sitelerinden ekleri indirmeyin - bunlar ailenizden ve arkadaşlarınızdan gelseler bile (zaten virüs bulaşmış olabilir).

Siber Güvenlik Devam Edebilir mi? Kötü Amaçlı Yazılım ve Antivirüsün Geleceği

Kötü amaçlı yazılımlar sürekli gelişiyor ve antivirüs geliştiricilerini hızlarını korumaya zorluyor. Örneğin dosyasız kötü amaçlı yazılım esasen görünmezdir - peki buna karşı nasıl savunma yapabiliriz?

Yazar hakkında