近日，F(xiàn)5安全研究院（F5 Labs）的研究人員公布了近期發(fā)現(xiàn)的新型GoLang加密貨幣挖掘惡意軟件。該惡意軟件針對(duì)基于Linux的服務(wù)器發(fā)起攻擊以挖掘XMR（門羅幣）。研究人員估算，已有數(shù)千臺(tái)機(jī)器受到僵尸網(wǎng)絡(luò)感染。

惡意軟件利用不同漏洞功能示例
 

發(fā)現(xiàn)惡意請(qǐng)求，為GO語(yǔ)言編寫的新型惡意軟件

2019年6月14日，F(xiàn)5研究人員檢測(cè)到針對(duì)ThinkPHP（CVE-2019-9082和CVE未分配），Atlassian Confluence（CVE-2019-3396）和Drupal（CVE-2018-7600）（也稱為Druppalgeddon2）中漏洞的惡意請(qǐng)求。請(qǐng)求中傳遞的有效負(fù)載嘗試通過(guò)發(fā)送相同漏洞的方式進(jìn)行傳播，同時(shí)試圖使用多個(gè)硬編碼憑據(jù)連接到Redis數(shù)據(jù)庫(kù)并通過(guò)SSH協(xié)議連接。最終目的是通過(guò)上述方法將加密貨幣挖掘惡意軟件安裝至服務(wù)器，并感染其他服務(wù)器以繼續(xù)傳播。此次攻擊行為中所利用的部分漏洞為常見(jiàn)目標(biāo)，但發(fā)送的惡意軟件卻是用Go（GoLang）語(yǔ)言編寫。值得注意的是，Go是一種不常被用于創(chuàng)建惡意程序的新編程語(yǔ)言。

Go語(yǔ)言已有將近十年的歷史，通常被大多數(shù)開(kāi)發(fā)者合法使用，因此使用GoLang進(jìn)行惡意軟件攻擊的活動(dòng)并不常見(jiàn)。2019年1月，一個(gè)早期的GoLang惡意軟件樣本被分析并發(fā)布。

F5 Labs的研究人員捕獲的這一樣本與用Go編寫的Zebrocy惡意軟件變種和MalwareBytes分析的盜取程序不同。經(jīng)過(guò)初步判斷，該樣本似乎來(lái)自一款新的惡意軟件，而該惡意軟件目前尚未被反病毒軟件供應(yīng)商收錄，因?yàn)闄z測(cè)到這一惡意軟件的反病毒軟件將其歸為一般惡意軟件類型。
 
瞄準(zhǔn)Linux服務(wù)器，惡意軟件以七種傳播方式

該新型GoLang惡意軟件專門針對(duì)Linux 服務(wù)器、通過(guò)七種不同的方式傳播：包括四類Web應(yīng)用程序（兩種針對(duì)ThinkPHP, 一種針對(duì)Drupal, 一種針對(duì)Confluence)、SSH憑據(jù)枚舉、Redis數(shù)據(jù)庫(kù)密碼枚舉，以及嘗試使用已發(fā)現(xiàn)的SSH密鑰連接其他計(jì)算機(jī)。由于目前安裝加密挖掘軟件的行為已相當(dāng)普遍，所以其傳播技術(shù)量級(jí)之大也成為一個(gè)明顯的特征。

隨著F5研究人員對(duì)該惡意軟件進(jìn)行追本溯源，發(fā)現(xiàn)攻擊者使用了在線剪貼板pastebin網(wǎng)站來(lái)托管spearhead bash腳本，惡意軟件已托管在一個(gè)被入侵的中國(guó)電子商務(wù)網(wǎng)站上。追查過(guò)程中研究人員發(fā)現(xiàn)，在剪切板和GitHub上的帳戶于幾天前創(chuàng)建，并克隆了一個(gè)基于Golang的漏洞掃描程序項(xiàng)目，這表明攻擊者仍在實(shí)驗(yàn)中。而根據(jù)剪貼板和GitHhub上的用戶名以及克隆項(xiàng)目推斷，研究員們懷疑這次攻擊可能是來(lái)自中國(guó)的黑客所為。

Pastebin上傳播惡意軟件的用戶信息示例
 

F5觀點(diǎn)：GoLang惡意軟件提示新的安全風(fēng)險(xiǎn)應(yīng)引起注意

盡管這一惡意軟件樣本并不是F5研究人員分析過(guò)的最復(fù)雜的類型，但它所具有的獨(dú)特性足以引起關(guān)注。然而攻擊者嘗試使用量重于質(zhì)的模式來(lái)探索一種進(jìn)入系統(tǒng)的方法，卻暴露了它的不成熟。

GoLang惡意軟件首次出現(xiàn)是在2018年中期，并在2019年持續(xù)發(fā)生。由于Go 語(yǔ)言主要被開(kāi)發(fā)者用于合法程序，通常不會(huì)被反病毒軟件收錄，也正因如此，GoLang開(kāi)始被惡意攻擊者用作編寫惡意軟件的語(yǔ)言，使其逐漸走向了“黑暗”的一面， 致使Golang惡意軟件開(kāi)始出現(xiàn)在威脅場(chǎng)景中。

具有獨(dú)特性的威脅活動(dòng)和惡意軟件只是F5 Labs不斷檢測(cè)的一部分威脅載體。獲取詳細(xì)技術(shù)細(xì)節(jié)可訪問(wèn)F5 Labs網(wǎng)站博客。此外，作為F5旗下權(quán)威的安全研究機(jī)構(gòu)，F(xiàn)5 Labs （https://www.f5.com/labs）致力于將應(yīng)用威脅數(shù)據(jù)轉(zhuǎn)化為可利用的安全防護(hù)信息，通過(guò)分析并分享安全威脅場(chǎng)景助益網(wǎng)絡(luò)社區(qū)安全。

標(biāo)簽： GoLang惡意軟件 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。