GoBruteforcer Malware er rettet mod mange platforme

Forskere fra Palo Altos Unit 42 har for nylig afsløret en ny form for malware, der er baseret på Golang. Kaldt som GoBruteforcer, er denne malware rettet mod webservere, der kører tjenester som FTP, MySQL, phpMyAdmin og Postgres. Forskningen indikerer, at angriberen har installeret binære filer til x86-, x64- og ARM-processorarkitekturer. Ydermere bruger malwaren en klasseløs CIDR-blokscanningsteknik (integer domain routing) for at få adgang til en bred vifte af målværter på forskellige IP'er i stedet for en enkelt IP-adresse.

Det primære formål med GoBruteforcer er at målrette mod Unix-lignende platforme med x86-, x64- og ARM-arkitekturer. Malwaren bruger brute-force-angreb med hårdkodede legitimationsoplysninger for at få adgang til målet. Når det er lykkedes, installerer malwaren en internet relay chat (IRC) bot på offerets server, så den kan kommunikere med angriberens server. GoBruteforcer bruger også en allerede installeret PHP-webshell på offerserveren for at få flere detaljer om det målrettede netværk.

Den indledende indtrængen vektor for GoBruteforcer og PHP web shell er dog stadig ukendt, og malwaren ser ud til at være under aktiv udvikling for at undgå opdagelse. Disse resultater fremhæver, hvordan Golang i stigende grad bliver et foretrukket valg for trusselsaktører til at udvikle malware på tværs af platforme. Desuden gør GoBruteforcer's multi-scan-kapacitet det til en betydelig trussel, da det kan bryde et bredt sæt af mål.

Hvorfor er Golang et foretrukket udviklingsværktøj for mange malwareproducenter?

Golang er et foretrukket udviklingsværktøj for mange malwareproducenter på grund af dets evne til at skabe højtydende applikationer på tværs af platforme. Golang er et open source programmeringssprog, der er nemt at lære og giver et robust sæt funktioner til at bygge skalerbare applikationer.

En af de vigtigste fordele ved Golang er dens evne til at skabe binære eksekverbare filer, der kan køres på flere platforme uden at kræve installation af yderligere afhængigheder. Dette gør det nemmere for malware-udviklere at skabe malware, der kan køre på forskellige systemer, herunder Windows, macOS og Linux.

Ydermere har Golang fremragende understøttelse af samtidighed, hvilket giver malwareproducenter mulighed for at skabe yderst effektiv og skalerbar malware. Denne funktion er afgørende i forbindelse med malware, da mange malware-stammer er designet til at sprede sig hurtigt og inficere så mange systemer som muligt.

Endelig har Golang en relativt simpel syntaks, som gør det nemmere for udviklere at oprette og ændre kode hurtigt. Denne funktion er vigtig for malwareproducenter, da de ofte skal opdatere og ændre deres malware for at undgå opdagelse af antivirussoftware.

Sammenfattende er Golang et foretrukket udviklingsværktøj for malware-producenter på grund af dets cross-platform-kapaciteter, understøttelse af samtidighed og enkelhed i brug, som giver mulighed for hurtig udvikling og ændring af kode.