ما تحتاج لمعرفته حول البرامج الضارة المستندة إلى Golang

أصبحت Golang لغة البرمجة المفضلة للعديد من مطوري البرامج الضارة. وفقًا لشركة Intezer للأمن السيبراني ، كانت هناك زيادة بنسبة 2000 بالمائة تقريبًا في عدد سلالات البرامج الضارة القائمة على Go والموجودة في البرية منذ عام 2017.

من المتوقع أن يزداد عدد الهجمات التي تستخدم هذا النوع من البرامج الضارة في العامين المقبلين. الأمر الأكثر إثارة للقلق هو أننا نرى العديد من جهات التهديد التي تستهدف أنظمة تشغيل متعددة بسلالات من قاعدة كود Go واحدة.

إليك كل شيء آخر تحتاج لمعرفته حول هذا التهديد الناشئ.

ما هو جولانج؟

Go (المعروفة أيضًا باسم Golang) هي لغة برمجة مفتوحة المصدر لا تزال جديدة نسبيًا. تم تطويره بواسطة Robert Griesemer و Rob Pike و Ken Thompson في Google في عام 2007 ، على الرغم من أنه تم تقديمه رسميًا للجمهور فقط في عام 2009.

تم تطويره كبديل لـ C ++ و Java. كان الهدف هو إنشاء شيء يسهل التعامل معه ويسهل قراءته للمطورين.

ذات صلة: تعلم لغة Android من خلال تدريب Google Go Developer

لماذا يستخدم مجرمو الإنترنت Golang؟

هناك الآلاف من البرامج الضارة المستندة إلى Golang في البرية اليوم. تستخدم كل من عصابات القرصنة التي ترعاها الدولة وغير التابعة لها لإنتاج مجموعة من السلالات بما في ذلك أحصنة طروادة للوصول عن بُعد (RATs) ، وسرقة ، وعمال مناجم العملات ، وشبكات الروبوتات وغيرها الكثير.

ما يجعل هذا النوع من البرامج الضارة أكثر فاعلية هو الطريقة التي يمكنه بها استهداف أنظمة التشغيل Windows و macOS و Linux باستخدام نفس قاعدة التعليمات البرمجية. هذا يعني أن مطور البرامج الضارة يمكنه كتابة التعليمات البرمجية مرة واحدة ثم استخدام قاعدة التعليمات البرمجية الفردية هذه لتجميع الثنائيات لمنصات متعددة. باستخدام الارتباط الثابت ، يمكن تشغيل رمز مكتوب بواسطة مطور لنظام Linux على نظام التشغيل Mac أو Windows.

لقد رأينا عمال المناجم المعتمدين على نظام go-based يستهدفون كلاً من أجهزة Windows و Linux بالإضافة إلى متسللي العملات المشفرة متعددي المنصات مع تطبيقات طروادة التي تعمل على أجهزة macOS و Windows و Linux.

بصرف النظر عن هذا التنوع ، فقد أثبتت السلالات المكتوبة في Go أنها متخفية للغاية أيضًا.

العديد من الأنظمة مخترقة دون اكتشاف لأن البرامج الضارة المكتوبة في Go كبيرة. أيضًا بسبب الارتباط الثابت ، تكون الثنائيات في Go أكبر نسبيًا مقارنة بتلك الموجودة في اللغات الأخرى. العديد من خدمات برامج مكافحة الفيروسات غير مجهزة لفحص الملفات بهذا الحجم الضخم.

علاوة على ذلك ، يصعب على معظم برامج مكافحة الفيروسات العثور على تعليمات برمجية مشبوهة في Go binary لأنها تبدو مختلفة كثيرًا تحت مصحح الأخطاء مقارنة بالآخرين المكتوبة بلغات أكثر شيوعًا.

لا يساعد أن ميزات لغة البرمجة هذه تجعل من الصعب عكس هندسة وتحليل ثنائيات Go.

في حين أن العديد من أدوات الهندسة العكسية مجهزة جيدًا لتحليل الثنائيات المجمعة من C أو C ++ ، لا تزال الثنائيات القائمة على Go تمثل تحديات جديدة للمهندسين العكسيين. أدى هذا إلى إبقاء معدلات اكتشاف برامج Golang الضارة منخفضة بشكل ملحوظ.

سلالات البرامج الضارة ونواقل الهجوم

قبل عام 2019 ، ربما كان اكتشاف البرامج الضارة المكتوبة في Go أمرًا نادرًا ، ولكن في السنوات الأخيرة كانت هناك زيادة مطردة في سلالات البرامج الضارة القائمة على go-based.

اكتشف باحث في البرامج الضارة حوالي 10700 سلالة فريدة من البرامج الضارة مكتوبة بلغة Go in the wild. أكثرها انتشارًا هي RATs والأبواب الخلفية ولكن في الأشهر الأخيرة رأينا أيضًا قدرًا كبيرًا من برامج الفدية الخبيثة المكتوبة في Go.

اليكترورات

أحد هذه المعلومات المكتوبة في Golang هو ElectroRAT المتطفلة للغاية. في حين أن هناك العديد من هؤلاء الذين يسرقون المعلومات السيئون حولهم ، فإن ما يجعل هذا الشخص أكثر غدرًا هو كيف يستهدف أنظمة تشغيل متعددة.

تتميز حملة ElectroRAT ، التي تم اكتشافها في كانون الأول (ديسمبر) 2020 ، ببرامج ضارة قائمة على أنظمة تشغيل Go والتي تحتوي على ترسانة من القدرات الشريرة التي يتقاسمها متغير Linux و macOS و Windows.

هذه البرامج الضارة قادرة على تسجيل لوحة المفاتيح ، والتقاط لقطات الشاشة ، وتحميل الملفات من الأقراص ، وتنزيل الملفات ، وتنفيذ الأوامر بصرف النظر عن هدفها النهائي المتمثل في استنزاف محافظ العملات المشفرة.

الموضوعات ذات الصلة: ElectroRAT الضارة التي تستهدف محافظ العملات المشفرة

الحملة الواسعة التي يعتقد أنها لم يتم اكتشافها لمدة عام تضمنت تكتيكات أكثر تفصيلاً.

تضمن الأخير إنشاء موقع ويب مزيف وحسابات وسائط اجتماعية مزيفة ، وإنشاء ثلاثة تطبيقات منفصلة مصابة بأحصنة طروادة تتعلق بالعملات المشفرة (تستهدف كل منها أنظمة التشغيل Windows و Linux و macOS) ، والترويج للتطبيقات الملوثة على منتديات التشفير والبلوك تشين مثل Bitcoin Talk ، وجذب الضحايا إلى صفحات الويب للتطبيق ذي طروادة.

بمجرد قيام المستخدم بتنزيل التطبيق ثم تشغيله ، يتم فتح واجهة المستخدم الرسومية أثناء تسلل البرنامج الضار إلى الخلفية.

روبن هود

تصدرت برامج الفدية الشريرة عناوين الصحف في عام 2019 بعد أن أصابت أنظمة الكمبيوتر في مدينة بالتيمور بالشلل.

طالب مجرمو الإنترنت الذين يقفون وراء سلالة Robbinhood بمبلغ 76000 دولار لفك تشفير الملفات. تم تقديم أنظمة الحكومة في وضع عدم الاتصال وخروج الخدمة لمدة شهر تقريبًا ، وبحسب ما ورد أنفقت المدينة مبلغًا أوليًا قدره 4.6 مليون دولار لاستعادة البيانات في أجهزة الكمبيوتر المتأثرة.

قد تكون الأضرار الناجمة عن فقدان الإيرادات قد كلفت المدينة أكثر – تصل إلى 18 مليون دولار وفقًا لمصادر أخرى.

تم ترميز Robbinhood Ransomware في الأصل بلغة برمجة Go ، حيث قام بتشفير بيانات الضحية ثم إلحاق أسماء ملفات الملفات المخترقة بامتداد .Robbinhood. ثم وضع ملفًا قابلاً للتنفيذ وملفًا نصيًا على سطح المكتب. كان الملف النصي عبارة عن مذكرة فدية مع مطالب المهاجمين.

زيبروسى

في عام 2020 ، طور مشغل البرامج الضارة Sofacy متغيرًا من Zebrocy مكتوبًا في Go.

تنكرت هذه السلالة في شكل مستند Microsoft Word وانتشرت باستخدام إغراءات التصيد الاحتيالي لـ COVID-19. لقد عملت كمنزل قام بجمع البيانات من نظام المضيف المصاب ثم قام بتحميل هذه البيانات على خادم القيادة والتحكم.

الموضوعات ذات الصلة: احترس من هذه 8 عمليات الاحتيال عبر الإنترنت لـ COVID-19

ترسانة Zebrocy ، المكونة من القطارات والأبواب الخلفية وأدوات التنزيل ، مستخدمة منذ سنوات عديدة. ولكن تم اكتشاف متغير Go في عام 2019 فقط.

تم تطويره من قبل مجموعات جرائم الإنترنت المدعومة من الدولة واستهدف سابقًا وزارات الخارجية والسفارات والمنظمات الحكومية الأخرى.

المزيد من البرامج الضارة لـ Golang ستظهر في المستقبل

تزداد شعبية البرامج الضارة القائمة على Go-based ، وأصبحت باستمرار لغة البرمجة المفضلة لممثلي التهديد. قدرتها على استهداف منصات متعددة والبقاء غير مكتشفة لفترة طويلة تجعلها تهديدًا خطيرًا يستحق الاهتمام.

هذا يعني أنه من المفيد تسليط الضوء على أنك بحاجة إلى اتخاذ الاحتياطات الأساسية ضد البرامج الضارة. لا تنقر فوق أي روابط مشبوهة أو تقوم بتنزيل مرفقات من رسائل البريد الإلكتروني أو مواقع الويب – حتى لو كانت واردة من عائلتك وأصدقائك (الذين قد يكونون مصابين بالفعل).