أصبحت Golang لغة البرمجة المفضلة للعديد من مطوري البرامج الضارة. وفقًا لشركة الأمن السيبراني Intezer ، كانت هناك زيادة بنسبة 2000 بالمائة تقريبًا في عدد سلالات البرامج الضارة القائمة على Go والموجودة في البرية منذ عام 2017.

من المتوقع أن يزداد عدد الهجمات التي تستخدم هذا النوع من البرامج الضارة في العامين المقبلين. الأمر الأكثر إثارة للقلق هو أننا نرى العديد من جهات التهديد التي تستهدف أنظمة تشغيل متعددة بسلالات من قاعدة بيانات Go واحدة.

إليك كل شيء آخر تحتاج لمعرفته حول هذا التهديد الناشئ.

ما هو جولانج؟

Go (المعروفة أيضًا باسم Golang) هي لغة برمجة مفتوحة المصدر لا تزال جديدة نسبيًا. تم تطويره بواسطة Robert Griesemer و Rob Pike و Ken Thompson في Google في عام 2007 ، على الرغم من أنه تم تقديمه رسميًا للجمهور فقط في عام 2009.

تم تطويره كبديل لـ C ++ و Java. كان الهدف هو إنشاء شيء يسهل التعامل معه ويسهل قراءته للمطورين.

متعلق ب: تعلم لغة Android مع تدريب Google Go Developer

لماذا يستخدم مجرمو الإنترنت Golang؟

هناك الآلاف من البرامج الضارة المستندة إلى Golang في البرية اليوم. تستخدم كل من عصابات القرصنة التي ترعاها الدولة وغير التابعة لها لإنتاج مجموعة من السلالات بما في ذلك أحصنة طروادة للوصول عن بُعد (RATs) ، وسرقة ، وعمال مناجم العملات ، وشبكات الروبوتات وغيرها الكثير.

instagram viewer

ما يجعل هذا النوع من البرامج الضارة أكثر فاعلية هو الطريقة التي يمكنه بها استهداف أنظمة التشغيل Windows و macOS و Linux باستخدام نفس قاعدة التعليمات البرمجية. هذا يعني أن مطور البرامج الضارة يمكنه كتابة التعليمات البرمجية مرة واحدة ثم استخدام قاعدة التعليمات البرمجية الفردية هذه لتجميع الثنائيات لمنصات متعددة. باستخدام الارتباط الثابت ، يمكن تشغيل رمز مكتوب بواسطة مطور لنظام Linux على نظام التشغيل Mac أو Windows.

ماذا او ما # غولانغ هو الأكثر استخداما ل#برمجة# ترميز#الشفرة#dev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode#WomenWhoCodepic.twitter.com/Fv8v5v8Gd5

- kuka0len (@ kuka0len) 15 فبراير 2021

لقد رأينا عمال مناجم تشفير يعتمدون على go يستهدفون كل من أجهزة Windows و Linux بالإضافة إلى متسللي العملات المشفرة متعددي الأنظمة الأساسية مع تطبيقات طروادة التي تعمل على أجهزة macOS و Windows و Linux.

بصرف النظر عن هذا التنوع ، فقد أثبتت السلالات المكتوبة في Go أنها متخفية للغاية أيضًا.

العديد من الأنظمة مخترقة دون اكتشاف لأن البرامج الضارة المكتوبة في Go كبيرة. أيضًا بسبب الارتباط الثابت ، تكون الثنائيات في Go أكبر نسبيًا مقارنة بتلك الموجودة في اللغات الأخرى. العديد من خدمات برامج مكافحة الفيروسات غير مجهزة لفحص الملفات بهذا الحجم الضخم.

علاوة على ذلك ، يصعب على معظم برامج مكافحة الفيروسات العثور على تعليمات برمجية مشبوهة في Go binary لأنها تبدو مختلفة كثيرًا تحت مصحح الأخطاء مقارنة بالآخرين المكتوبة بلغات أكثر شيوعًا.

لا يساعد أن ميزات لغة البرمجة هذه تجعل من الصعب عكس هندسة وتحليل ثنائيات Go.

في حين أن العديد من أدوات الهندسة العكسية مجهزة جيدًا لتحليل الثنائيات المجمعة من C أو C ++ ، لا تزال الثنائيات القائمة على Go تمثل تحديات جديدة للمهندسين العكسيين. أدى هذا إلى إبقاء معدلات اكتشاف برامج Golang الضارة منخفضة بشكل ملحوظ.

سلالات البرامج الضارة ونواقل الهجوم

قبل عام 2019 ، ربما كان اكتشاف البرامج الضارة المكتوبة في Go أمرًا نادرًا ، ولكن في السنوات الأخيرة كانت هناك زيادة مطردة في سلالات البرامج الضارة القائمة على go-based.

باحث برامج ضارة اكتشف حوالي 10700 سلالة فريدة من البرمجيات الخبيثة مكتوبة في Go in the wild. أكثر هذه البرامج انتشارًا هي RATs والأبواب الخلفية ولكن في الأشهر الأخيرة رأينا أيضًا قدرًا كبيرًا من برامج الفدية الخبيثة المكتوبة بلغة Go.

اليكترورات

عملية # الكهربائية
بالفعل الآلاف من محافظ العملات المشفرة مسروقة. حملة واسعة النطاق تتضمن مكتوبة من الصفر RAT مخبأة في تطبيقات أحصنة طروادة.
عينات Windows و Linux و macOS التي لم يتم اكتشافها في VirusTotalhttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r

- Intezer (IntezerLabs) 5 يناير 2021

أحد هذه المعلومات المكتوبة في Golang هو ElectroRAT المتطفلة للغاية. في حين أن هناك العديد من هؤلاء الذين يسرقون المعلومات السيئون حولهم ، فإن ما يجعل هذا الشخص أكثر غدرًا هو كيفية استهدافه لأنظمة تشغيل متعددة.

تتميز حملة ElectroRAT ، التي تم اكتشافها في كانون الأول (ديسمبر) 2020 ، ببرامج ضارة تعتمد على Go عبر الأنظمة الأساسية والتي تحتوي على ترسانة من القدرات الشريرة التي يتقاسمها متغير Linux و macOS و Windows.

هذه البرامج الضارة قادرة على تسجيل لوحة المفاتيح ، والتقاط لقطات الشاشة ، وتحميل الملفات من الأقراص ، وتنزيل الملفات ، وتنفيذ الأوامر بصرف النظر عن هدفها النهائي المتمثل في استنزاف محافظ العملات المشفرة.

متعلق ب: تستهدف البرمجيات الخبيثة ElectroRAT محافظ العملات المشفرة

الحملة الواسعة التي يعتقد أنها ظلت غير مكتشفة لمدة عام تضمنت تكتيكات أكثر تفصيلاً.

تضمن الأخير إنشاء موقع ويب مزيف وحسابات وسائط اجتماعية مزيفة ، وإنشاء ثلاثة تطبيقات منفصلة مصابة بأحصنة طروادة تتعلق بالعملة المشفرة (كل منها تستهدف أنظمة التشغيل Windows و Linux و macOS) ، والترويج للتطبيقات الملوثة على منتديات التشفير والبلوك تشين مثل Bitcoin Talk ، وجذب الضحايا إلى تطبيقات طروادة صفحات الانترنت.

بمجرد قيام المستخدم بتنزيل التطبيق ثم تشغيله ، يتم فتح واجهة المستخدم الرسومية أثناء تسلل البرنامج الضار إلى الخلفية.

روبن هود

هذه فدية شريرة تصدرت عناوين الصحف في عام 2019 بعد تعطيل أنظمة الكمبيوتر في مدينة بالتيمور.

طالب مجرمو الإنترنت الذين يقفون وراء سلالة Robbinhood بمبلغ 76000 دولار لفك تشفير الملفات. تم تقديم أنظمة الحكومة في وضع عدم الاتصال وخرجت عن الخدمة لمدة شهر تقريبًا ، وبحسب ما ورد أنفقت المدينة مبلغًا أوليًا قدره 4.6 مليون دولار لاستعادة البيانات في أجهزة الكمبيوتر المتأثرة.

قد تكون الأضرار الناجمة عن فقدان الإيرادات قد كلفت المدينة أكثر - تصل إلى 18 مليون دولار وفقًا لمصادر أخرى.

تم ترميز Robbinhood Ransomware في الأصل بلغة برمجة Go ، حيث قام بتشفير بيانات الضحية ثم إلحاق أسماء ملفات الملفات المخترقة بامتداد .Robbinhood. ثم وضع ملفًا قابلاً للتنفيذ وملفًا نصيًا على سطح المكتب. كان الملف النصي عبارة عن مذكرة فدية مع مطالب المهاجمين.

زيبروسى

# أبت 28
سلطة البرامج الضارة متعددة اللغات من Zebrocyhttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY

- شحرور طائر (blackorbird) 4 يونيو 2019

في عام 2020 ، طورت شركة Sofacy لمشغل البرامج الضارة نوعًا من Zebrocy تمت كتابته بلغة Go.

تنكرت هذه السلالة في شكل مستند Microsoft Word وانتشرت باستخدام إغراءات التصيد الاحتيالي لـ COVID-19. لقد عملت كأداة تنزيل جمعت البيانات من نظام المضيف المصاب ثم حمَّلت هذه البيانات على خادم الأوامر والتحكم.

متعلق ب: احترس من 8 عمليات الاحتيال عبر الإنترنت لـ COVID-19

ترسانة Zebrocy ، المكونة من القطارات والأبواب الخلفية وأدوات التنزيل ، مستخدمة منذ سنوات عديدة. ولكن تم اكتشاف متغير Go في عام 2019 فقط.

تم تطويره من قبل مجموعات جرائم الإنترنت المدعومة من الدولة واستهدف سابقًا وزارات الخارجية والسفارات والمنظمات الحكومية الأخرى.

المزيد من البرامج الضارة لـ Golang ستظهر في المستقبل

تزداد شعبية البرامج الضارة القائمة على Go-based ، وأصبحت باستمرار لغة البرمجة المفضلة لممثلي التهديد. قدرتها على استهداف منصات متعددة والبقاء غير مكتشفة لفترة طويلة تجعلها تهديدًا خطيرًا يستحق الاهتمام.

هذا يعني أنه من المفيد تسليط الضوء على أنك بحاجة إلى اتخاذ الاحتياطات الأساسية ضد البرامج الضارة. لا تنقر فوق أي روابط مشبوهة أو تقوم بتنزيل مرفقات من رسائل البريد الإلكتروني أو مواقع الويب - حتى لو كانت واردة من عائلتك وأصدقائك (الذين قد يكونون مصابين بالفعل).

بريد الالكتروني
هل يمكن للأمن السيبراني مواكبة ذلك؟ مستقبل البرامج الضارة ومكافحة الفيروسات

تتطور البرامج الضارة باستمرار ، مما يجبر مطوري برامج مكافحة الفيروسات على الحفاظ على وتيرتها. البرمجيات الخبيثة الخالية من الملفات ، على سبيل المثال ، هي في الأساس غير مرئية - فكيف يمكننا الدفاع ضدها؟

مواضيع ذات صلة
  • حماية
  • الأمن على الإنترنت
  • البرمجيات الخبيثة
عن المؤلف
لورين باليتا سنتينو (27 مقالة منشورة)

تكتب لورين في المجلات والصحف والمواقع الإلكترونية منذ 15 عامًا. لديها درجة الماجستير في تكنولوجيا الوسائط التطبيقية ولديها اهتمام كبير بالوسائط الرقمية ودراسات وسائل التواصل الاجتماعي والأمن السيبراني.

المزيد من Loraine Balita-Centeno

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

خطوة أخرى أيضا…!

يرجى تأكيد عنوان بريدك الإلكتروني في البريد الإلكتروني الذي أرسلناه لك للتو.

.