黑客利用 Telegram API 传播全新 Golang 后门病毒
黑客利用 Telegram API 传播全新 Golang 后门病毒
Diebug研究人员发现了一种基于 Golang 的新型后门病毒,该病毒利用 Telegram 进行命令与控制(C2)通信,绕过传统检测机制。Netskope 研究团队揭示了这种恶意软件的工作原理及其潜在威胁。
Telegram 被滥用为 C2 通信工具
网络安全研究机构 Netskope 近期发现了一种新的 Golang 后门(Trojan.Generic.37477095),该恶意软件可能仍处于开发阶段,但已具备完整功能。攻击者利用 Telegram API 作为命令与控制(C2)通道,以便远程控制受感染设备。
由于 Telegram 这样的云服务易于使用,并且难以被安全研究人员监测,因此成为黑客的首选工具。类似的滥用方式还可能出现在 OneDrive、GitHub 和 Dropbox 等云平台上。相比于传统 C2 服务器,使用 Telegram 作为通信通道不需要攻击者搭建专属基础设施,大幅降低了运维成本,同时增加了检测难度。
后门病毒如何运行?
该后门病毒由 Golang 编写,执行后首先调用 installSelf 函数,检查自身是否运行在特定路径:
📌 C:\Windows\Temp\svchost.exe
如果不在该路径,恶意软件会自我复制到目标位置,并创建新进程运行新副本,然后终止原始进程,以确保始终从固定目录启动。
利用 Telegram 进行远程控制
该后门利用一个开源的 Golang Telegram 交互包,通过 Telegram
BotFather
创建机器人实例,并使用特定令牌(示例:8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk)建立
C2 通信。
后门会持续监听指定的 Telegram 频道,等待攻击者发送指令。目前,该病毒支持 4 个命令,但仅实现了其中 3 个功能:
1. /cmd —— 远程执行 PowerShell 命令
- 黑客向受感染设备发送
/cmd命令。 - 设备返回一条俄语提示消息:“请输入命令:”
- 黑客发送 PowerShell 命令,该命令将在隐藏窗口执行,执行结果随后通过 Telegram 反馈给攻击者。
2. /persist —— 持久化安装
- 该命令会重复安装检查流程,重新启动恶意软件,以确保它在系统中保持活跃状态。
3. /screenshot —— 屏幕截图(未完全实现)
- 该命令当前仅返回一条消息:“截图已捕获”,但未真正实现截图功能,可能仍处于开发中。
4. /selfdestruct —— 自毁模式
- 该命令会删除自身文件(
C:\Windows\Temp\svchost.exe)并终止恶意进程,同时在 Telegram 频道发送“已启动自毁”消息。
所有命令的执行结果都会通过 sendEncrypted
函数加密并回传至 Telegram 频道,确保攻击者可远程监控受害设备状态。
防御难点与安全建议
黑客滥用云应用进行 C2 通信的方式,极大增加了防御难度。
“虽然利用云应用作为 C2 通信通道并不常见,但它确实是一种非常有效的攻击方式。
这样一来,攻击者无需搭建专属服务器,同时安全研究人员也很难区分普通 API 请求与恶意 C2 通信。”
—— Netskope 研究团队 在其技术博客中指出。
为了防范此类攻击,建议采取以下措施:
✔ 安装强大的安全防护软件,确保能够检测 Golang
编译的可执行文件。
✔ 阻止未知或可疑 Telegram
机器人与企业内部系统交互,减少被滥用风险。
✔ 加强终端检测与响应(EDR)能力,监测异常 PowerShell
调用和可疑网络请求。
✔
定期检查系统任务计划与注册表,防止恶意软件创建持久化机制。
由于该恶意软件仍处于开发阶段,其攻击方式可能会进一步升级,建议企业和个人加强防范,防止黑客利用 Telegram 及其他云服务发动更复杂的攻击。
