本文转载自微信公众号“安数网络”（anshunet）。

网络安全公司Intezer发布一份报告称，自2017年以来，使用Go编程语言编码的恶意软件数量急剧增加了2,000%左右。此外，还突显出恶意软件生态系统的总体趋势：恶意软件开发人员已逐渐从C和C ++转向Go(Go语言是由Google在2007年开发和发布的编程语言)。

虽然在2012年才发现了第一个基于Go的恶意软件，但是Go是在近几年的时间里才逐渐在恶意软件中流行的。Intezer在其报告中说：“在2019年之前，发现用Go编写的恶意软件的情况很少见，但在2019年则变成了普遍现象。”而在今天，Go(通常也被称为Golang)已经不断突破并被广泛采用。黑客甚至安全团队都使用它，他们经常使用它来创建渗透测试工具包。

恶意软件选择Go的主要原因有三个：

• 首先是Go支持跨平台编译。这让恶意软件开发人员可以只编写一次代码，并从同一代码库中编译出多个平台的二进制文件，包括Windows，Mac和Linux，这是很多编程语言通常所不具备的多功能性。

• 第二个原因是安全研究人员仍然很难对基于Go的二进制文件进行分析和逆向工程，这使得基于Go语言编写的恶意程序检出率一直很低。

• 第三个原因与Go支持使用网络数据包和请求工作有关。Intezer解释：“Go具有编写良好的网络栈，易于使用。Go已经成为云的编程语言之一，很多云原生应用都是用它编写的。例如，Docker，Kubernetes，InfluxDB，Traefik，Terraform，CockroachDB，Prometheus和Consul都是用Go编写的。因此，创建Go的原因之一就是希望发明一种更好的语言来代替Google内部使用C ++网络服务，因此是很有说服力的。”

由于恶意软件通常会一直篡改，组装或发送/接收网络数据包，因此Go为恶意软件开发人员提供了所需的所有工具，这些很容易看出为什么许多恶意软件开发者为此放弃了C和C ++。这三个原因也是为什么在2020年会观察到如此比以往更多的Go语言恶意软件的主要原因。

Intezer说：“这些恶意软件中有许多是针对Linux和IoT设备的僵尸网络，它们可以安装加密矿工或将受感染的机器注册到DDoS僵尸网络中。

在2020年看到的一些最大和最流行的基于Go的威胁的例子包括：

(1) Nation-state APT malware：

• Zebrocy—俄罗斯黑客组织APT28去年为其Zebrocy恶意软件创建了一个基于Go的版本。
• WellMess —俄罗斯黑客组织APT29去年部署了其基于Go的WellMess恶意软件的新升级版本。

(2)

E-crime malware：

• GOSH —Carbanak 组织在去年 8 月部署了一个用 Go 编写的名为 GOSH 的新 RAT。
• Glupteba —2020 年出现了新版本的 Glupteba loader，比以往任何时候都先进。
• Bitdefender —看到了一个针对运行 Oracle WebLogic 的 Linux 服务器的新 RAT。
• CryptoStealer.Go —2020 年出现了新的改进版 CryptoStealer.Go 恶意软件，此恶意软件的目标是加密货币钱包和浏览器密码。
• 此外，在 2020 年还发现了一个用 Go 语言编写的 clipboard stealer。

(3) Go编写的新勒索软件病毒：

• RobbinHood
• Nefilim
• EKANS

根据报告显示，Intezer预计Go的使用在未来几年中还会持续增长，并与C，C ++和Python一起，成为编码恶意软件的首选编程语言。

本文翻译自：

https://www.zdnet.com/article/go-malware-is-now-common-having-been-adopted-by-both-apts-and-e-crime-groups/