红蓝匹敌——“垂钓假装”实例阐发及若何防备

红蓝匹敌已成为新形势下关键信息系统收集平安庇护的重要构成部门，以现实运行的信息系统为庇护目标，更大限度地模仿实在的黑客进侵，从而查验信息系统的现实可靠性和运行庇护的详细有效性。

近日，安恒信息威胁谍报中心对一些与红蓝匹敌动作相关的样本停止了监控和捕获，此中猎影尝试室对那些样本停止了阐发和联系关系，并对其停止了必然水平的总结，并将其分红几集停止论述。

一、本期对Golang在红蓝匹敌中常用的进攻办法停止了实例阐发。

1.概述Golang

Golang，又称谷歌，是谷歌开发的一种编译语言。设想于2007年起头，并于2009年正式推出。别的，它还具有跨平台的特征，能很好地撑持各类操做系统。

2.Golang利用于歹意软件

Golang编译的歹意软件已经呈现了很长时间，但并没有引起太多存眷。近年来，APT进攻、僵尸收集和讹诈病毒逐步进进公家视野。

二、为什么Golang会遭到一些进攻者的喜爱，大致有以下几点：

1.跨平台特色

撑持Windows，Linux、OSX等支流操做系统，代码复用才能强，无需过多存眷跨平台修改。

2.适应性强

编译法式时会嵌进依靠库，然后在目标设备上运行时能够很好的施行，不需要其他依靠，适应性强。但因为那个原因，样本体积太大，在一些利用中存在一些缺陷。

3.免杀效果好

因为软件规模、代码规模、存眷度等问题，Golang歹意法式的杀软查验效果欠安，以至可实现0杀毒。

展开全文

在APT进攻中，ZebrocyLoaderAPT28Golang版本、VALUEVAULT(Golang版本凭证窃取东西)等APT34利用的组织也在Golang利用。SSLVPN事务中经常利用WellMess歹意软件，间接影响到国内。

三、Golang在红蓝匹敌中利用

Golang也在红蓝匹敌中发光。我们捕获到了一些与此相关的Golang样本，包罗开源、开源修改和非开源。例如:

1. GECC（CobaltStrike-GoExternalC22Client项目

抉择Golang实现CobaltStrikeExternalC2客户端。

2.ShellGo项目

利用Golang写的shellCodeLoader。

3.GolangDownloader

下载长途负荷并施行Golang法式。

4.GolangScanner

端口，弱密码扫描器。

很随便发现golang在各个方面都有利用。

同时，可能会陆续呈现许多开源法式，包罗长途掌握、凭证偷盗、Payload拆载机、扫描爆破、代办署理东西等。当然，基于开源的修改或自写也是如斯。

四、若何防备

安恒APT预警平台和安恒APT预警平台不难发现已知或未知的威胁。APT预警平台的实时监控才能能够捕获和阐发邮件附件发送文档或法式的威胁，而且能够在邮件发送、破绽检测、安拆植进、毗连掌握等各个阶段停止强有力的监控。连系安恒威胁谍报系统，能够总结国表里威胁数据，阐发整个进攻演变和结合预警。

安恒威胁信息中心拥有阐发平安威胁数据、跟踪APT事务、阐发多源信息数据、构成高价值威胁数据库的专业威胁信息阐发团队。阐发的信息包罗歹意文件、僵尸收集和C2、扫描IP、灰产IP、摘矿等60多种谍报数据。供给威胁脾气报数据和办事，包罗未知威胁检测、威胁溯源阐发、主动防备等，能够进步客户对区域平安的智能化水平。依托核心数据才能，供给威胁脾气报数据、威胁脾气报检测等专业技能。