0 |
В 2017 году, более чем через год после внедрения подсистемы Windows для Linux (WSL), исследователи из Check Point предложили концептуальную атаку под названием Bashware, в которой WSL использовалась для запуска вредоносных файлов ELF (Executable and Linkable Format) и EXE.
Поскольку WSL не была активирована по умолчанию, а Windows 10 не поставлялась с предустановленным дистрибутивом Linux, Bashware в то время не посчитали реальной угрозой.
Теперь, четыре года спустя, вредоносное ПО на базе WSL обнаружено на просторах Сети.
В прошлый четверг Black Lotus Labs, группа исследования угроз сетевого бизнеса Lumen Technologies, заявила, что ею найдено несколько вредоносных файлов, написанных на Python 3 и скомпилированных в двоичном формате Linux ELF для Debian Linux с помощью PyInstaller.
Эти файлы действуют как загрузчики для основной нагрузки, которая либо встроена (возможно, создана с использованием инструментов с открытым исходным кодом, таких как MSFVenom или Meterpreter), либо загружается с удалённого командного сервера (C&C), а затем внедряется в запущенный процесс с помощью вызовов Windows API.
По мнению специалистов Black Lotus Labs, эта первоначальная WSL-атака довольно примитивна. Тем не менее, имеющиеся образцы получили рейтинг обнаружения один или ноль в VirusTotal, это значит, что вредоносные файлы ELF скорее всего будут пропущены большинством антивирусных систем.
Найденный в образцах маршрутизируемый IP-адрес (185.63.90 [.] 137) связывает их с целями в Эквадоре и Франции. Они взаимодействовали с данным IP-адресом в конце июня – начале июля, вероятно, для тестирования VPN или прокси.
Всем, кто использует WSL, Black Lotus Labs рекомендует активировать ведение журнала, чтобы обнаруживать подобные вторжения.
Хотя с WSL обычно работают только опытные пользователи, именно они часто имеют повышенные привилегии в организации. Это создает слепые зоны, особенно опасные сейчас, когда индустрия активно устраняет барьеры между различными операционными системами.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |