Меню
Поиск

Обнаружено первое вредоносное ПО в подсистеме Windows для Linux

20 сентябрь, 2021 - 14:35

В 2017 году, более чем через год после внедрения подсистемы Windows для Linux (WSL), исследователи из Check Point предложили концептуальную атаку под названием Bashware, в которой WSL использовалась для запуска вредоносных файлов ELF (Executable and Linkable Format) и EXE.

Поскольку WSL не была активирована по умолчанию, а Windows 10 не поставлялась с предустановленным дистрибутивом Linux, Bashware в то время не посчитали реальной угрозой.

Теперь, четыре года спустя, вредоносное ПО на базе WSL обнаружено на просторах Сети.

В прошлый четверг Black Lotus Labs, группа исследования угроз сетевого бизнеса Lumen Technologies, заявила, что ею найдено несколько вредоносных файлов, написанных на Python 3 и скомпилированных в двоичном формате Linux ELF для Debian Linux с помощью PyInstaller.

Эти файлы действуют как загрузчики для основной нагрузки, которая либо встроена (возможно, создана с использованием инструментов с открытым исходным кодом, таких как MSFVenom или Meterpreter), либо загружается с удалённого командного сервера (C&C), а затем внедряется ​​в запущенный процесс с помощью вызовов Windows API.

По мнению специалистов Black Lotus Labs, эта первоначальная WSL-атака довольно примитивна. Тем не менее, имеющиеся образцы получили рейтинг  обнаружения один или ноль в VirusTotal, это значит, что вредоносные файлы ELF скорее всего будут пропущены  большинством антивирусных систем.

Найденный в образцах маршрутизируемый IP-адрес (185.63.90 [.] 137) связывает их с целями в Эквадоре и Франции. Они взаимодействовали с данным IP-адресом в конце июня – начале июля, вероятно, для  тестирования VPN или прокси.

Всем, кто использует WSL, Black Lotus Labs рекомендует активировать ведение журнала, чтобы обнаруживать подобные вторжения.

Хотя с WSL обычно работают только опытные пользователи, именно они часто имеют повышенные привилегии в организации. Это создает слепые зоны, особенно опасные сейчас, когда индустрия активно устраняет барьеры между различными операционными системами.