1. 设计io/fs的背景

Go语言的接口是Gopher最喜欢的语法元素之一，其隐式的契约满足和“当前唯一可用的泛型机制”的特质让其成为面向组合编程的强大武器，其存在为Go建立事物抽象奠定了基础，同时也是建立抽象的主要手段。

Go语言从诞生至今，最成功的接口定义之一就是io.Writer和io.Reader接口：

type Writer interface {
    Write(p []byte) (n int, err error)
}

type Reader interface {
    Read(p []byte) (n int, err error)
}

这两个接口建立了对数据源中的数据操作的良好的抽象，通过该抽象我们可以读或写满足这两个接口的任意数据源：

• 字符串

r := strings.NewReader("hello, go")
r.Read(...)

• 字节序列

r := bytes.NewReader([]byte("hello, go"))
r.Read(...)

• 文件内数据

f := os.Open("foo.txt") // f 满足io.Reader
f.Read(...)

• 网络socket

r, err :=  net.DialTCP("192.168.0.10", nil, raddr *TCPAddr) (*TCPConn, error)
r.Read(...)

• 构造HTTP请求

req, err := http.NewRequestWithContext(ctx, "POST", url, bytes.NewReader([]byte("hello, go"))

• 读取压缩文件内容

func main() {
    f, err := os.Open("hello.txt.gz")
    if err != nil {
        log.Fatal(err)
    }

    zr, err := gzip.NewReader(f)
    if err != nil {
        log.Fatal(err)
    }

    if _, err := io.Copy(os.Stdout, zr); err != nil {
        log.Fatal(err)
    }

    if err := zr.Close(); err != nil {
        log.Fatal(err)
    }
}

… …

能构架出io.Reader和Writer这样的抽象，与Go最初核心团队的深厚的Unix背景是密不可分的，这一抽象可能深受“在UNIX中，一切都是字节流”这一设计哲学的影响。

Unix还有一个设计哲学：一切都是文件，即在Unix中，任何有I/O的设备，无论是文件、socket、驱动等，在打开设备之后都有一个对应的文件描述符，Unix将对这些设备的操作简化在抽象的文件中了。用户只需要打开文件，将得到的文件描述符传给相应的操作函数，操作系统内核就知道如何根据这个文件描述符得到具体设备信息，内部隐藏了对各种设备进行读写的细节。

并且Unix还使用树型的结构将各种抽象的文件(数据文件、socket、磁盘驱动器、外接设备等)组织起来，通过文件路径对其进行访问，这样的一个树型结构构成了文件系统。

不过由于历史不知名的某个原因，Go语言并没有在标准库中内置对文件以及文件系统的抽象！我们知道如今的os.File是一个具体的结构体类型，而不是抽象类型：

// $GOROOT/src/os/types.go

// File represents an open file descriptor.
type File struct {
        *file // os specific
}

结构体os.File中唯一的字段file指针还是一个操作系统相关的类型，我们以os/file_unix.go为例，在unix中，file的定义如下：

// file is the real representation of *File.
// The extra level of indirection ensures that no clients of os
// can overwrite this data, which could cause the finalizer
// to close the wrong file descriptor.
type file struct {
        pfd         poll.FD
        name        string
        dirinfo     *dirInfo // nil unless directory being read
        nonblock    bool     // whether we set nonblocking mode
        stdoutOrErr bool     // whether this is stdout or stderr
        appendMode  bool     // whether file is opened for appending
}

Go语言之父Rob Pike对当初os.File没有被定义为interface而耿耿于怀：

不过就像Russ Cox在上述issue中的comment那样：“我想我会认为io.File应该是接口，但现在这一切都没有意义了”：

但在Go 1.16的embed文件功能设计过程中，Go核心团队以及参与讨论的Gopher们认为引入一个对File System和File的抽象，将会像上面的io.Reader和io.Writer那样对Go代码产生很大益处，同时也会给embed功能的实现带去便利！于是Rob Pike和Russ Cox亲自上阵完成了io/fs的设计。

2. 探索io/fs包

io/fs的加入也不是“临时起意”，早在很多年前的godoc实现时，对一个抽象的文件系统接口的需求就已经被提了出来并给出了实现：

最终这份实现以godoc工具的vfs包的形式一直长期存在着。虽然它的实现有些复杂，抽象程度不够，但却对io/fs包的设计有着重要的参考价值。

Go语言对文件系统与文件的抽象以io/fs中的FS接口类型和File类型落地，这两个接口的设计遵循了Go语言一贯秉持的“小接口原则”，并符合开闭设计原则(对扩展开放,对修改关闭)。

// $GOROOT/src/io/fs/fs.go
type FS interface {
        // Open opens the named file.
        //
        // When Open returns an error, it should be of type *PathError
        // with the Op field set to "open", the Path field set to name,
        // and the Err field describing the problem.
        //
        // Open should reject attempts to open names that do not satisfy
        // ValidPath(name), returning a *PathError with Err set to
        // ErrInvalid or ErrNotExist.
        Open(name string) (File, error)
}

// A File provides access to a single file.
// The File interface is the minimum implementation required of the file.
// A file may implement additional interfaces, such as
// ReadDirFile, ReaderAt, or Seeker, to provide additional or optimized functionality.
type File interface {
        Stat() (FileInfo, error)
        Read([]byte) (int, error)
        Close() error
}

FS接口代表虚拟文件系统的最小抽象，它仅包含一个Open方法；File接口则是虚拟文件的最小抽象，仅包含抽象文件所需的三个共同方法(不能再少了)。我们可以基于这两个接口通过Go常见的嵌入接口类型的方式进行扩展，就像io.ReadWriter是基于io.Reader的扩展那样。在这份设计提案中，作者还将这种方式命名为extension interface，即在一个基本接口类型的基础上，新增一到多个新方法以形成一个新接口。比如下面的基于FS接口的extension interface类型StatFS：

// A StatFS is a file system with a Stat method.
type StatFS interface {
        FS

        // Stat returns a FileInfo describing the file.
        // If there is an error, it should be of type *PathError.
        Stat(name string) (FileInfo, error)
}

对于File这个基本接口类型，fs包仅给出一个extension interface：ReadDirFile，即在File接口的基础上增加了一个ReadDir方法形成的，这种用扩展方法名+基础接口名来命名一个新接口类型的方式也是Go的惯用法。

对于FS接口，fs包给出了一些扩展FS的常见“新扩展接口”的样例：

以fs包的ReadDirFS接口为例：

// $GOROOT/src/io/fs/readdir.go
type ReadDirFS interface {
    FS

    // ReadDir reads the named directory
    // and returns a list of directory entries sorted by filename.
    ReadDir(name string) ([]DirEntry, error)
}

// ReadDir reads the named directory
// and returns a list of directory entries sorted by filename.
//
// If fs implements ReadDirFS, ReadDir calls fs.ReadDir.
// Otherwise ReadDir calls fs.Open and uses ReadDir and Close
// on the returned file.
func ReadDir(fsys FS, name string) ([]DirEntry, error) {
    if fsys, ok := fsys.(ReadDirFS); ok {
        return fsys.ReadDir(name)
    }

    file, err := fsys.Open(name)
    if err != nil {
        return nil, err
    }
    defer file.Close()

    dir, ok := file.(ReadDirFile)
    if !ok {
        return nil, &PathError{Op: "readdir", Path: name, Err: errors.New("not implemented")}
    }

    list, err := dir.ReadDir(-1)
    sort.Slice(list, func(i, j int) bool { return list[i].Name() < list[j].Name() })
    return list, err
}

我们看到伴随着ReadDirFS，标准库还提供了一个helper函数：ReadDir。该函数的第一个参数为FS接口类型的变量，在其内部实现中，ReadDir先通过类型断言判断传入的fsys是否实现了ReadDirFS，如果实现了，就直接调用其ReadDir方法；如果没有实现则给出了常规实现。其他几个FS的extension interface也都有自己的helper function，这也算是Go的一个惯例。如果你要实现你自己的FS的扩展，不要忘了这个惯例：给出伴随你的扩展接口的helper function。

标准库中一些涉及虚拟文件系统的包在Go 1.16版本中做了对io/fs的适配，比如：os、net/http、html/template、text/template、archive/zip等。

以http.FileServer为例，Go 1.16版本之前建立一个静态文件Server一般这么来写：

// github.com/bigwhite/experiments/blob/master/iofs/fileserver_classic.go
package main

import "net/http"

func main() {
    http.ListenAndServe(":8080", http.FileServer(http.Dir(".")))
}

Go 1.16 http包对fs的FS和File接口做了适配后，我们可以这样写：

// github.com/bigwhite/experiments/blob/master/iofs/fileserver_iofs.go
package main

import (
    "net/http"
    "os"
)

func main() {
    http.ListenAndServe(":8080", http.FileServer(http.FS(os.DirFS("./"))))
}

os包新增的DirFS函数返回一个fs.FS的实现：一个以传入dir为根的文件树构成的File System。

我们可以参考DirFS实现一个goFilesFS，该FS的实现仅返回以.go为后缀的文件：

// github.com/bigwhite/experiments/blob/master/iofs/gofilefs/gofilefs.go

package gfs

import (
    "io/fs"
    "os"
    "strings"
)

func GoFilesFS(dir string) fs.FS {
    return goFilesFS(dir)
}

type goFile struct {
    *os.File
}

func Open(name string) (*goFile, error) {
    f, err := os.Open(name)
    if err != nil {
        return nil, err
    }
    return &goFile{f}, nil
}

func (f goFile) ReadDir(count int) ([]fs.DirEntry, error) {
    entries, err := f.File.ReadDir(count)
    if err != nil {
        return nil, err
    }
    var newEntries []fs.DirEntry

    for _, entry := range entries {
        if !entry.IsDir() {
            ss := strings.Split(entry.Name(), ".")
            if ss[len(ss)-1] != "go" {
                continue
            }
        }
        newEntries = append(newEntries, entry)
    }
    return newEntries, nil
}

type goFilesFS string

func (dir goFilesFS) Open(name string) (fs.File, error) {
    f, err := Open(string(dir) + "/" + name)
    if err != nil {
        return nil, err // nil fs.File
    }
    return f, nil
}

上述GoFilesFS的实现中：

• goFilesFS实现了io/fs的FS接口，而其Open方法返回的fs.File实例为我自定义的goFile结构；
• goFile结构通过嵌入*os.File满足了io/fs的File接口；
• 我们重写goFile的ReadDir方法(覆盖os.File的同名方法)，在这个方法中我们过滤掉非.go后缀的文件。

有了GoFilesFS的实现后，我们就可以将其传给http.FileServer了：

// github.com/bigwhite/experiments/blob/master/iofs/fileserver_gofilefs.go
package main

import (
    "net/http"

    gfs "github.com/bigwhite/testiofs/gofilefs"
)

func main() {
    http.ListenAndServe(":8080", http.FileServer(http.FS(gfs.GoFilesFS("./"))))
}

通过浏览器打开localhost:8080页面，我们就能看到仅由go源文件组成的文件树！

3. 使用io/fs提高代码可测性

抽象的接口意味着降低耦合，意味着代码可测试性的提升。Go 1.16增加了对文件系统和文件的抽象之后，我们以后再面对文件相关代码时，我们便可以利用io/fs提高这类代码的可测试性。

我们有这样的一个函数：

func FindGoFiles(dir string) ([]string, error)

该函数查找出dir下所有go源文件的路径并放在一个[]string中返回。我们可以很轻松的给出下面的第一版实现：

// github.com/bigwhite/experiments/blob/master/iofs/gowalk/demo1/gowalk.go

package demo

import (
    "os"
    "path/filepath"
    "strings"
)

func FindGoFiles(dir string) ([]string, error) {
    var goFiles []string
    err := filepath.Walk(dir, func(path string, info os.FileInfo, err error) error {
        if info.IsDir() {
            return nil
        }

        ss := strings.Split(path, ".")
        if ss[len(ss)-1] != "go" {
            return nil
        }

        goFiles = append(goFiles, path)
        return nil
    })
    if err != nil {
        return nil, err
    }

    return goFiles, nil
}

这一版的实现直接使用了filepath的Walk函数，它与os包是紧绑定的，即要想测试这个函数，我们需要在磁盘上真实的构造出一个文件树，就像下面这样：

$tree testdata
testdata
└── foo
    ├── 1
    │   └── 1.txt
    ├── 1.go
    ├── 2
    │   ├── 2.go
    │   └── 2.txt
    └── bar
        ├── 3
        │   └── 3.go
        └── 4.go

按照go惯例，我们将测试依赖的外部数据文件放在testdata下面。下面是针对上面函数的测试文件：

// github.com/bigwhite/experiments/blob/master/iofs/gowalk/demo1/gowalk_test.go
package demo

import (
    "testing"
)

func TestFindGoFiles(t *testing.T) {
    m := map[string]bool{
        "testdata/foo/1.go":       true,
        "testdata/foo/2/2.go":     true,
        "testdata/foo/bar/3/3.go": true,
        "testdata/foo/bar/4.go":   true,
    }

    files, err := FindGoFiles("testdata/foo")
    if err != nil {
        t.Errorf("want nil, actual %s", err)
    }

    if len(files) != 4 {
        t.Errorf("want 4, actual %d", len(files))
    }

    for _, f := range files {
        _, ok := m[f]
        if !ok {
            t.Errorf("want [%s], actual not found", f)
        }
    }
}

FindGoFiles函数的第一版设计显然可测性较差，需要对依赖特定布局的磁盘上的文件，虽然testdata也是作为源码提交到代码仓库中的。

有了io/fs包后，我们用FS接口来提升一下FindGoFiles函数的可测性，我们重新设计一下该函数：

// github.com/bigwhite/experiments/blob/master/iofs/gowalk/demo2/gowalk.go

package demo

import (
    "io/fs"
    "strings"
)

func FindGoFiles(dir string, fsys fs.FS) ([]string, error) {
    var newEntries []string
    err := fs.WalkDir(fsys, dir, func(path string, entry fs.DirEntry, err error) error {
        if entry == nil {
            return nil
        }

        if !entry.IsDir() {
            ss := strings.Split(entry.Name(), ".")
            if ss[len(ss)-1] != "go" {
                return nil
            }
            newEntries = append(newEntries, path)
        }
        return nil
    })

    if err != nil {
        return nil, err
    }

    return newEntries, nil
}

这次我们给FindGoFiles增加了一个fs.FS类型的参数fsys，这是解除掉该函数与具体FS实现的关键。当然demo1的测试方法同样适用于该版FindGoFiles函数：

// github.com/bigwhite/experiments/blob/master/iofs/gowalk/demo2/gowalk_test.go
package demo

import (
    "os"
    "testing"
)

func TestFindGoFiles(t *testing.T) {
    m := map[string]bool{
        "testdata/foo/1.go":       true,
        "testdata/foo/2/2.go":     true,
        "testdata/foo/bar/3/3.go": true,
        "testdata/foo/bar/4.go":   true,
    }

    files, err := FindGoFiles("testdata/foo", os.DirFS("."))
    if err != nil {
        t.Errorf("want nil, actual %s", err)
    }

    if len(files) != 4 {
        t.Errorf("want 4, actual %d", len(files))
    }

    for _, f := range files {
        _, ok := m[f]
        if !ok {
            t.Errorf("want [%s], actual not found", f)
        }
    }
}

但这不是我们想要的，既然我们使用了io/fs.FS接口，那么一切实现了fs.FS接口的实体均可被用来构造针对FindGoFiles的测试。但自己写一个实现了fs.FS接口以及fs.File相关接口还是比较麻烦的，Go标准库已经想到了这点，为我们提供了testing/fstest包，我们可以直接利用fstest包中实现的基于memory的FS来对FindGoFiles进行测试：

// github.com/bigwhite/experiments/blob/master/iofs/gowalk/demo3/gowalk_test.go
package demo

import (
    "testing"
    "testing/fstest"
)

/*
$tree testdata
testdata
└── foo
    ├── 1
    │   └── 1.txt
    ├── 1.go
    ├── 2
    │   ├── 2.go
    │   └── 2.txt
    └── bar
        ├── 3
        │   └── 3.go
        └── 4.go

5 directories, 6 files

*/

func TestFindGoFiles(t *testing.T) {
    m := map[string]bool{
        "testdata/foo/1.go":       true,
        "testdata/foo/2/2.go":     true,
        "testdata/foo/bar/3/3.go": true,
        "testdata/foo/bar/4.go":   true,
    }

    mfs := fstest.MapFS{
        "testdata/foo/1.go":       {Data: []byte("package foo\n")},
        "testdata/foo/1/1.txt":    {Data: []byte("1111\n")},
        "testdata/foo/2/2.txt":    {Data: []byte("2222\n")},
        "testdata/foo/2/2.go":     {Data: []byte("package bar\n")},
        "testdata/foo/bar/3/3.go": {Data: []byte("package zoo\n")},
        "testdata/foo/bar/4.go":   {Data: []byte("package zoo1\n")},
    }

    files, err := FindGoFiles("testdata/foo", mfs)
    if err != nil {
        t.Errorf("want nil, actual %s", err)
    }

    if len(files) != 4 {
        t.Errorf("want 4, actual %d", len(files))
    }

    for _, f := range files {
        _, ok := m[f]
        if !ok {
            t.Errorf("want [%s], actual not found", f)
        }
    }
}

由于FindGoFiles接受了fs.FS类型变量作为参数，使其可测性显著提高，我们可以通过代码来构造测试场景，而无需在真实物理磁盘上构造复杂多变的测试场景。

4. 小结

io/fs的加入让我们易于面向接口编程，而不是面向os.File这个具体实现。io/fs的加入丝毫没有违和感，就好像这个包以及其中的抽象在Go 1.0版本发布时就存在的一样。这也是Go interface隐式依赖的特质带来的好处，让人感觉十分得劲儿！

本文中涉及的代码可以在这里下载。https://github.com/bigwhite/experiments/tree/master/iofs

“Gopher部落”知识星球正式转正（从试运营星球变成了正式星球）！“gopher部落”旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！部落目前虽小，但持续力很强。在2021年上半年，部落将策划两个专题系列分享，并且是部落独享哦：

• Go技术书籍的书摘和读书体会系列
• Go与eBPF系列

欢迎大家加入！

Go技术专栏“改善Go语⾔编程质量的50个有效实践”正在慕课网火热热销中！本专栏主要满足广大gopher关于Go语言进阶的需求，围绕如何写出地道且高质量Go代码给出50条有效实践建议，上线后收到一致好评！欢迎大家订阅！

我的网课“Kubernetes实战：高可用集群搭建、配置、运维与应用”在慕课网热卖中，欢迎小伙伴们订阅学习！

我爱发短信：企业级短信平台定制开发专家 https://tonybai.com/。smspush : 可部署在企业内部的定制化短信平台，三网覆盖，不惧大并发接入，可定制扩展； 短信内容你来定，不再受约束, 接口丰富，支持长短信，签名可选。2020年4月8日，中国三大电信运营商联合发布《5G消息白皮书》，51短信平台也会全新升级到“51商用消息平台”，全面支持5G RCS消息。

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻)归档仓库 – https://github.com/bigwhite/gopherdaily

我的联系方式：

• 微博：https://weibo.com/bigwhite20xx
• 微信公众号：iamtonybai
• 博客：tonybai.com
• github: https://github.com/bigwhite
• “Gopher部落”知识星球：https://public.zsxq.com/groups/51284458844544

微信赞赏：

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。

2020年5月份，Go语言之父Rob Pike接受了evrone.com的专访。当Rob Pike老爷子被问及多年来他看到过最奇怪、最有创意或有趣的Go用法或最让他惊讶的是什么时，老爷子是这么回答的：

Rob：最大的惊喜是当我们得知Go被用于编写恶意软件时。您无法控制谁将使用您的作品或他们将如何使用它。

近期安全技术公司Intezer发布了一份名为《Year of the Gopher, A 2020 Go Malware Round-Up》的报告，该报告称在过去几年中，安全人员发现的用Go编写的新恶意软件几乎增加了2000%，这一标题迅速引爆程序员社区，有人唾弃Go踏入“歧途”，也有人膜拜Go的niubility：能被黑客看中和使用的都是精华！

那么究竟是什么让黑客们这么青睐Go并用之去编写恶意软件呢？估计但那份几十页的报告没几个人会完整的读一遍，本文我们就结合报告的内容(分类、整理、摘录)做一些探究。

1. Go语言的简介

报告首先简单介绍了Go的前世今生。

Go是一种开源的编程语言，由Robert Griesemer、Rob Pike和Ken Thompson于2007年在Google开发。它于2009年11月向公众发布。开发新语言的动机来自于使用当前编程语言(当时三巨头都是用C++)的挫折感。由于CPU不再通过增加时钟周期的数量来提高速度。相反，更多的速度开始通过添加更多的CPU核并允许更多的并行执行来获得。这种硬件上的进化并没有很好地反映在通用编程语言中。虽然C、C++和Java等语言提供了在多核上并行执行事务的功能，但它们为程序员提供的帮助却很少，无法高效、安全地完成这项工作。

Google的程序员们于是开始设计一种新的编程语言，为方便和安全的使用并发或并行提供“原生/一等公民地位”的支持。另一个目标则是要将解释型语言的编程便利性与静态类型和编译型语言的效率和安全性结合起来。另外在设计时，Google是将其用于Google基础设施运行的一部分网络服务中，因此对网络的支持也很重要。

为了提供在解释语言中编程的感觉，Go使用垃圾收集并处理所有的内存管理。所有的Go二进制文件都包含一个称为运行时的通用库，这导致Go二进制文件的大小比用C语言编写的类似的静态链接的程序要大。该库负责处理垃圾收集、执行线程的调度以及该语言的所有其他关键功能。虽然它被称为运行时，但比起Java运行时，它更像C语言的libc，它已经与二进制文件进行了静态编译。Go二进制文件被编译成本地机器代码，但也可以被编译成以JavaScript为运行时的WebAssembly。

Go 1.4版本及更早版本的编译器是用C语言实现的，但随着2015年1.5版本的发布，编译器完全用Go语言编写，并实现了自举。转为自举编译器后，给用户在交叉编译方面的体验带来了巨大的改善。之前使用基于C语言的编译器时，需要在编译代码的机器上安装一个针对目标操作系统和架构的C编译器。和针对不同目标的C代码进行交叉编译时的方式非常相似。从1.5版本开始，只需要向编译器指明它的编译目标架构，就可以实现对不同操作系统和架构的交叉编译。不需要针对目标的特殊编译器。Go可以通过不依赖主机上的库来执行例如syscalls(系统调用)。本来由libc提供的功能由Go的标准库提供和处理。这种方便的交叉编译有一个限制，那就是当Go程序需要通过其外函数接口（FFI）与C语言编写的库进行交互时。

新的功能和解决方案使得程序员在新项目中采用Go。2016年，TIOBE授予Go“年度最佳编程语言”，这是一个授予评分上升幅度最高的语言的奖项。随着软件开发者因其功能而开始采用Go，恶意软件作者也开始采用Go也就不足为奇了。

人们注意到使用Go开发的恶意软件增多是从2019年Palo Alto Networks公司发布的一份分析报告开始的。2019年7月，Palo Alto Networks公司的Unit 42发布了对当时发现的用Go编写的恶意软件的分析报告。研究发现，2017年至2019年期间，人们发现的Go恶意软件样本增加 了1944%，这量化了一个很容易发现的趋势。在2019年之前，发现用Go编写的恶意软件更多的是一种罕见的现象，而在2019年期间，这成为了一种日常现象。报告中分析的恶意软件中，大部分，92%的恶意软件针对Windows，而4.5%针对Linux，3.5%针对macOS。
人们观察到的另一点是，渗透测试(pen-testing)团队采用Go来开发他们的工具，这在Unit 42的研究中很突出。

最常见的恶意软件家族类型是开源或渗透测试后门。其次是coinminer(挖矿)、窃取者和僵尸网络。这篇报告涵盖了2020年期间活跃的用Go编写的已知恶意软件的活动。

2. 使用Go的嵌入文件功能实现恶意加载器

与其他语言产生的二进制文件相比，Go编译器产生的二进制文件相对较大。例如，一个Hello World二进制文件有1700多个函数。由于二进制文件中有这么多的常用代码，因此在寻找可疑代码时就像大海捞针一样。这可能是为什么恶意Go二进制文件有时不被 反病毒引擎检测到的原因之一。这导致一些威胁行为者在Go中开发加载器，并利用它们来提供其他较老的、易被检测到的恶意软件。这种技术可以降低被检出率，甚至有时会使恶意软件完全无法被检测到。在Go二进制文件中嵌入其他二进制文件相对容易。有很多开源库已经解决了这个问题。下面是其中的一些列表：

• https://github.com/gobuffalo/packr
• https://github.com/rakyll/statik
• https://github.com/GeertJohan/go.rice
• https://github.com/UnnoTed/fileb0x
• https://github.com/mjibson/esc
• https://github.com/kevinburke/go-bindata
• https://github.com/lu4p/binclude
• https://github.com/omeid/go-resources
• https://github.com/pyros2097/go-embed
• https://github.com/wlbr/mule
• https://github.com/miscing/embed
• https://github.com/kyioptr/gassets

上述包的大部分的设计都是为了允许嵌入网络服务的静态资源文件(asset)，但使用案例并不限于此。嵌入文件的功能受到了广泛的好评，以至于今年2020年早些时候有人建议将该功能直接添加到Go编译器中。该建议已被接受，并已与2021年2月发布的Go 1.16版本一起发布了。从这个角度来看，Go 1.16版本加入嵌入文件功能，颇有些“助纣为虐”之嫌^_^。

3. 使用Go标准库强大的加密库和便捷的跨主机交叉编译特性实现恶意加密器和勒索软件

Go的标准库提供了一套非常强大的加密库，允许开发者在不需要使用任何第三方库的情况下，在应用中加入加密功能。

一个开源的加密加载器是Go shellcode LoaDer。它用AES对有效载荷进行加密。它对有效载荷进行解密，并在执行之前使用ZwProtectVirtualMemory将解密缓冲区标记为读取/执行。

我们还观察到威胁行为者编写自己的加密器和加载器。例如，我们看到一个名为gocrypter的加载器被用于加密商品恶意软件；大多数是RAT(Remote Access Trojans，远程访问木马)和键盘记录器。有效载荷已经用AES加密，并作为base64编码的blob存储在二进制内部。加密器将其解码成字节，并在写入磁盘和执行之前进行解密。

在2020年仍有一些活动的勒索软件，比如：RobbinHood。RobbinHood在2019年春季被发现，当巴尔的摩市被发现受到该勒索软件攻击时，得到了很多媒体的关注。Sophos在2月份发布了一份报告，详细介绍了该威胁行为者的一些演变过程。通过利用技嘉公司的一个脆弱的驱动程序，威胁行为者开始加载一个未签名的驱动程序。一旦驱动程序被加载，它将杀死进程和篡改保护软件，以确保勒索软件可以在不被中断的情况下加密硬盘驱动器的其余部分。但在2020年11月，仍有新的样本被发现，但勒索说明没有改变。11月的一个样本的PDB字符串为C:/Users/User/go/src/Robbinhood7，这表明根据恶意软件作者的说法，它可能是第7个版本的勒索软件。

另一个用Go编写的、仍然活跃的老牌勒索软件是Snatch。Snatch是在2018年12月被发现的，到现在似乎还在使用。该勒索软件由Snatch Team使用，他们通过远程访问服务（例如RDP）瞄准企业环境。一旦进入网络，该组织就会尝试在所有机器上部署勒索软件， 并对文件进行加密。该勒索软件在加密文件时有一个有趣的技术，该技术在2019年10月被引入到勒索软件中。该勒索软件将自己安装为一项服务，即使Windows启动到安全模式，也可以启动。在此之后，勒索软件将Windows重新启动到安全模式，允许它加密硬盘上的所有文件，而不会被安装的任何潜在的安全保护软件阻止。

Nefilim是一款勒索软件，最早出现在2020年3月。它是另一款名为Nemty的勒索软件的前身。最初的版本是用C++编写的，但在7月，该恶意软件用Go重新编写。除了加密受害者机器上的文件外，Nefilim背后的威胁行为者还窃取受害者的数据，并用于勒索。

由于Go提供了一种针对不同架构和操作系统交叉编译二进do制文件的简单方法，因此它被用于RaaS(Ransomware as a Service)勒索软件并不奇怪。它允许威胁行为者使用单一的代码库，以极低的工作量制作针对不同操作系统的二进制文件。Go已经被用于RaaS。在2020年的春天，一个新的RaaS被宣布，名为Smaug。Smaug是一个相对简单的勒索软件，但它为Windows、Linux和macOS提供”用户”的勒索软件服务。它可以在”企业”模式下运行，即所有机器使用一个密钥，或者每台机器模式下使用一个密钥。

Go可以为其他操作系统和架构制作二进制文件，这使得威胁行为者可以轻松地针对不同类型的设备，例如，嵌入式系统。在2019年夏天，我们发现了QNAPCrypt，也就是eCh0raix，这是一款针对QNAP NAS设备的勒索软件。后来，它还被用来针对Synology NAS设备。2020年，又发现了一款针对QNAP设备的新勒索软件。新的勒索软件被称为AgeLocker，因为它使用了开源的加密工具和库age。

在2020年期间发现的其他用Go编写的勒索软件包括。1月发现的Betasup，2月发现的Sorena也就是HackForLife和Vash，3月发现的GoGoogle。

4. 使用Go优秀的网络协议栈实现开发RAT(远程访问木马)、恶意偷窃程序、恶意机器人和僵尸网络

Go的网络协议栈写得非常好，易于操作。Go已经成为云计算的编程语言之一，很多云原生应用都是用它编写的。例如，Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。这是有道理的，因为创建Go背后的原因之一正是要发明一种更好的语言，可以用来取代Google内部使用的C++网络服务。因此远程访问木马(RAT)是用Go编写的，这并不奇怪。毕竟，它们非常需要优良的网络服务功能。

在这一年中，既有新的RAT出现，也有老的RAT不断被使用。早在2020年8月，我们发现了一个Linux版本的Carbanak威胁行为体使用的后门。该样本使用2017年2月发布的Go 1.8版本编译器进行编译。同样的编译器版本和构建环境被用于2017年RSA报告的一部分的初始Windows样本。

Glupteba是一个自2011年以来一直存在的恶意软件，但在2019年9月，发现了一个用Go改写的新版本。在整个2020年，这个新版本出现的更为频繁。该恶意软件在感染机器时，会尝试安装一个root-kit。为了绕过Windows中防止安装内核驱动程序的保护措施，恶意软件利用了一个脆弱的VirtualBox驱动程序。恶意软件会安装该驱动程序，由于该驱动程序是经过签名的，所以Windows会允许安装，并使用它在Ring-0中执行代码，以禁用Kernel Patch Protection（KPP）。这种技术并不新鲜，它最早被APT组织Turla使用。除此之外，该恶意软件还试图通过利用EternalBlue在本地网络内进行传播。

Windows并不是唯一一个被用Go编写的RAT攻击的操作系统。2020年10月，Bitdefender发布了一个针对Linux的新RAT的发现。Bitdefender的研究人员认为，它可能与2019年的PowerGhost活动有关。该威胁行为体针对的是易受CVE-2019-2725影响的WebLogic服务器。该RAT似乎被作者命名为NiuB。该恶意软件由两个二进制文件组成，即主恶意软件和一个防护恶意软件。该恶意软件收集受感染机器的信息，并将其发送到C2服务器。它可以执行shell命令，下载并执行其他二进制文件。

2020年1月，FireEye发布了一份针对NetScaler设备的攻击报告。攻击是利用CVE-2019-19781漏洞。作为攻击的一部分，威胁行为者使用了一种新的恶意软件，以前从未见过。FireEye将该恶意软件命名为NOTROBIN。它是用Go编写的，并被编译成在*BSD上运行，这是NetScaler使用的底层操作系统。一个有趣的功能是，该恶意软件通过扫描新的NetScaler模板文件并将其删除来阻止其他恶意软件利用相同的漏洞，这些文件可能是作为利用尝试的一部分添加的。它在18634端口上打开一个UDP监听器，但忽略发送到它的数据。它基本上充当了一个mutex，以确保受感染的机器上只运行一个恶意软件的副本。

已经有一些用Go编写的窃取器。在2019年，Malwarebytes报告了一个名为CryptoStealer.Go的窃取器。它旨在窃取加密货币钱包和 存储在浏览器中的数据，如信用卡信息。

同样在2020年期间，发现了一个用Go编写的剪贴板窃取器。它似乎自2019年以来一直活跃。根据上传到VirusTotal的样本的文件名 ，该窃取器被伪装成黑客工具，表明它被用来针对其他威胁行为者。该恶意软件的设计很简单。它将自己安装在App/DataLocal/Support下，并隐藏文件或文件夹。它读取剪贴板并检查它是否看起来像加密货币地址。如果是，恶意软件就会用攻击者自己的比特币、莱特币、Monero或Ethereum钱包替换剪贴板内容。

该恶意软件中的比特币钱包地址自2018年秋季以来一直处于活跃状态。截至本文撰写时，它已经收到了534笔交易，价值近11BTC。

随着Go作为标准库的一部分支持许多网络协议，以及为不同架构编译二进制文件的便利性，越来越多的机器人用Go编写也就不足为奇了。另外，二进制文件包含了正常运行所需的一切，这也为代码作者提供了更多的保证，例如，它可以在不同的Linux发行版上运行。它不用担心机器上是否已经安装了库。因为它需要什么，就自带什么。还有很多第三方库，提供了访问其他服务的功能。

比如这里列出了一些机器人库，可以用来开发不同服务的机器人。

• https://github.com/go-joe/joe
• https://github.com/bot-api/telegram
• https://github.com/shomali11/slacker
• https://github.com/go-chat-bot/bot
• https://github.com/frodsan/fbot
• https://github.com/go-telegram-bot-api/telegram-bot-api
• https://github.com/tucnak/telebot

随着开源机器人库的出现，它们被恶意软件作者滥用的情况并不少见。IRCFlu就是一个例子。IRCFlu是一个托管在GitHub上的IRC机器人。该机器人提供了在托管机器人的机器上执行任意代码的功能，这使得威胁行为者可以利用这个机器人远程控制多台受感染的机器。

除了开源项目被滥用外，2020年还出现了老牌知名僵尸网络的攻击行为。被称为ddg的僵尸网络是由Netlab在360首次报道的。他们在2017年10月检测到该僵尸网络对托管OrientDB的服务器的攻击。该僵尸网络的目标是安装Monero矿机。2020年，该僵尸网络进行了更新，通过增加一个p2p网络支持的C2基础设施，使其更有弹性地抵御击杀。混合的p2p网络基础设施允许威胁行为者在正常的C2服务器瘫痪时保持对机器人的控制。

另一个仍然活跃的老僵尸网络是StealthWorker，也被称为GoBrut。StealthWorker是Malwarebytes在2019年2月首次报道的。它是一个以Stealth Bomber为名在暗网论坛上销售的僵尸，用于通过凭证式蛮力攻击获得网络服务的访问权限。

僵尸网络r2r2是另一个通过蛮横强迫凭证传播的僵尸。它最早是在2018年被发现的。它随机生成IP地址，并试图通过弱凭证访问运行SSH的服务。一旦它获得了一个立足点，它就会在机器上安装一个密码器。该僵尸的功能非常有限，它由不到200百行的代码组成。

其他僵尸网络也在不断进化，以增加其潜在的目标。在2020年，Orthrus，也被称为Golang，演变为也针对Windows服务器。该僵尸是Antiy在2019年6月首次报道的。它主要针对未受保护或凭证薄弱的Redis服务器。一旦它获得远程代码执行，它就会安装一套二进制文件。一个是针对其他易受攻击服务的扫描器，一个看门狗服务和一个密码器。扫描器试图破坏其他有已知漏洞的网络服务。例如，Weblogic，Elasticsearch和Drupal是目标。在2020年，该恶意软件还增加了针对微软SQL服务器的目标。它试图通过强行获取凭证来获得访问权。该恶意软件包括一个近3000个密码的列表，它只针对SQL服务器使用。

12月，我们发现了另一个跨操作系统的挖掘机器人，我们称之为XMRig Miner Dropper。它的目标是运行MySQL、Tomcat和Jenkins的服务器以及凭证较弱或脆弱的WebLogic。根据底层操作系统的不同，该机器人提供了一个用于执行shell脚本或PowerShell脚本的有效载荷。一旦它入侵机器，它就会安装一个密码器，并试图利用其他服务器。

2016年9月，Mirai的源代码被发布。这导致许多新的僵尸网络从Mirai源代码中衍生出来。虽然该僵尸代码是用C++编写的，但该代码的发布为其他恶意软件作者用不同语言编写类似的僵尸提供了蓝本。2020年1月，Bitdefender发布了一份报告，介绍了一个用Go编写的受Mirai启发的新僵尸网络，他们将其命名为LiquorBot。该僵尸网络本质上是Mirai在Go中的重新实现，目标是运行在ARM（32位和64位）、x86（32位和64位）和MIPS上的Linux设备。该僵尸通过强行获取SSH证书和利用路由器的已知漏洞进行传播。一旦它获得了设备的访问权限，它就会试图感染其他人，并且还安装了一个Monero密码器。

LiquorBot并不是唯一受Mirai启发的僵尸网络。4月，我们发现了Kaiji，这是一个通过SSH蛮横强迫来针对Linux服务器和物联网设备的僵尸网络。除了强行插入薄弱的凭证外，该僵尸还试图使用在受感染机器上发现的本地SSH密钥来传播到企业内的其他机器。与Mirai类似，Kaiji允许僵尸管理员对他们选择的任何基础设施发起DDoS攻击。攻击包括两个TCPFlood实现（一个带有原始套接字）、两个UDPFlood实现（一个带有原始套接字）、IPSpoof攻击、SYNACK攻击、SYN攻击和ACK攻击。

2020年6月，Kaiji将其目标方法扩大到包括暴露API套接字的服务器。该恶意软件开始在互联网上扫描端口2375暴露的主机。如果它找到了一个，它会尝试部署一个流氓Docker容器，并在容器中执行Kaiji。

Kaiji不是唯一一个针对暴露的Docker API的僵尸网络。2020年11月，NetLab 360报告发现了一种名为Blackrota的新恶意软件。Kinsing，也被称为h2Miner，已经被称为针对Docker API。2020年1月，阿里巴巴云的研究人员首次报道了Kinsing。该僵尸网络正在使用masscan寻找暴露Hadoop Yarn、Redis和Docker的机器。当它发现一台运行这些服务的服务器时，它会试图利用服务中的已知漏洞来进一步传播自己。5月，我们观察到Kinsing利用SaltStack的两个漏洞CVE-2020-11651和CVE-2020-11652进行传播。该恶意软件还开始使用LD-PRELOAD用户地rootkit来隐藏其进程。

SSH brute-force已经成为用Go编写的僵尸网络采用的主要攻击方式之一。我们发现了IPStorm的一个新的Linux变种，其中包括这种攻击向量。IPStorm是一个点对点(p2p)僵尸网络，于2019年5月首次被发现。它使用开源项目IPFS作为其网络骨干。除了原始的Windows变体，我们还发现了作为Linux变体的一部分，针对Android和物联网设备的变体。与本报告中的其他僵尸网络不同，IPStorm的目标不是安装矿机。相反，该僵尸网络似乎提供了一个代理网络。这个代理网络是作为互联网上的匿名代理网络出售的。

IPStorm不是唯一一个在2020年活跃的Go编写的p2p网络。2020年8月，Guardicore发布了一份关于他们从同年1月开始追踪的一个新的p2p僵尸网络的报告。该僵尸网络被命名为FritzFrog，通过强行使用弱小的凭证来感染机器。Guardicore称，该僵尸网络已经成功入侵了超过500台服务器，其中包括 “美国和欧洲的知名高教机构，以及一家铁路公司”。

5. 未来预测与结论

虽然与用其他语言编写的恶意软件相比，用Go编写的恶意软件数量相对较少，但同比增长幅度很大。这种增长速度很可能会继续下去，这意味着用Go编写的恶意软件将变得更加频繁。对于针对Linux环境的恶意软件来说，用Go编写的部分比针对Windows的恶意软件要大。这很可能导致，在根据针对特定系统的恶意软件总量统计中，针对Linux系统的恶意软件的比例将可能变得最大。

在目前用Go编写的Linux恶意软件中，有很大一部分是用于DDoS或安装密码器的机器人。这种趋势可能会持续下去。其他类型也可能会变得更加频繁。我们已经看到了针对Linux系统的Go勒索软件，而且有可能会出现更多的以窃取和加密有价值数据为目标的勒索软件。这与Proofpoint对2021年的预测一致，即勒索软件威胁行为者将开始更加关注攻击云端。这意味着企业应该采用专注于云的检测和预防产品，以确保他们的云环境受到保护。许多传统的防病毒和保护解决方案都是为了保护Windows环境而设计的，而Linux环境则更多地成为了”二等公民”。

根据CrowdStrike从2020年开始的事件报告，在40%的事件中，恶意软件没有被反病毒产品检测到。除此之外，Go恶意软件一直很难被反病毒产品检测到，所以这种趋势很可能会继续下去。我们已经看到威胁行为者以相同的恶意软件代码库为中心，针对不同的操作系统进行攻击，导致恶意软件样本较少或未被检测到。由于恶意软件来自相同的代码库，因此使用代码基因的检测方法非常有效。未来我们很可能会看到更多针对多个操作系统的恶意软件，因为像Go这样的编程语言为恶意软件作者提供了一种简单的交叉编译恶意软件的方法。

在Windows方面，许多威胁行为者已经使用Go来制作勒索软件。未来这种趋势很可能会继续下去。随着更多RaaS产品的出现，用Go编写勒索软件也不是不可能。由于能够轻松地进行交叉编译，RaaS运营商可以为他们的”客户”提供更广泛的目标。

Go是一种开源的编程语言，它是在Google内部开发的，目的是利用过去几十年在硬件上取得的进步。它的设计是为了让开发者能够轻松地制作快速、安全、以网络为中心的代码，并在当今的多核CPU上获益。这使得该语言得到了极大的应用，尤其是在云环境中。开发者并不是唯一采用Go的人。Go强大的跨平台交叉编译、优秀的网络实现和加密库以及原生的文件嵌入功能让其颇受恶意软件开发者的青睐！ 在过去几年中，在市面上发现的用Go编写的新恶意软件几乎增加了2000%。这些恶意软件中有许多是针对Linux和物联网设备的僵尸网络，以安装加密矿机或将受感染的机器注册到DDoS僵尸网络中。此外，用Go编写的勒索软件似乎也变得更加普遍。一些用Go编写的著名勒索软件是Nefilim、EKANS和RobbinHood，这些勒索软件用于所谓的大型猎物攻击。

传统的反病毒解决方案似乎仍然难以检测到用Go编写的恶意软件。较新的技术不仅可以根据代码重用来判断恶意，还可以对威胁进行分类，已经取得了较大的成功，因为它们甚至可以处理Linux和Windows二进制文件之间的相似性。虽然用Go编写的恶意软件可能仍处于初级阶段，但它可能很快就会进入青春期，从而导致大量增加。

“Gopher部落”知识星球正式转正（从试运营星球变成了正式星球）！“gopher部落”旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！部落目前虽小，但持续力很强。在2021年上半年，部落将策划两个专题系列分享，并且是部落独享哦：

• Go技术书籍的书摘和读书体会系列
• Go与eBPF系列

Go技术专栏“改善Go语⾔编程质量的50个有效实践”正在慕课网火热热销中！本专栏主要满足广大gopher关于Go语言进阶的需求，围绕如何写出地道且高质量Go代码给出50条有效实践建议，上线后收到一致好评！欢迎大家订阅！目前该技术专栏正在新春促销！关注我的个人公众号“iamtonybai”，发送“go专栏活动”即可获取专栏专属优惠码，可在订阅专栏时抵扣20元哦(2021.2月末前有效)。

我的网课“Kubernetes实战：高可用集群搭建、配置、运维与应用”在慕课网热卖中，欢迎小伙伴们订阅学习！

我爱发短信：企业级短信平台定制开发专家 https://tonybai.com/。smspush : 可部署在企业内部的定制化短信平台，三网覆盖，不惧大并发接入，可定制扩展； 短信内容你来定，不再受约束, 接口丰富，支持长短信，签名可选。2020年4月8日，中国三大电信运营商联合发布《5G消息白皮书》，51短信平台也会全新升级到“51商用消息平台”，全面支持5G RCS消息。

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻)归档仓库 – https://github.com/bigwhite/gopherdaily

我的联系方式：

• 微博：https://weibo.com/bigwhite20xx
• 微信公众号：iamtonybai
• 博客：tonybai.com
• github: https://github.com/bigwhite
• “Gopher部落”知识星球：https://public.zsxq.com/groups/51284458844544

微信赞赏：

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。