`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Обнаружено первое вредоносное ПО в подсистеме Windows для Linux

20 сентября 2021 г., 15:35
0 
 

В 2017 году, более чем через год после внедрения подсистемы Windows для Linux (WSL), исследователи из Check Point предложили концептуальную атаку под названием Bashware, в которой WSL использовалась для запуска вредоносных файлов ELF (Executable and Linkable Format) и EXE.

Поскольку WSL не была активирована по умолчанию, а Windows 10 не поставлялась с предустановленным дистрибутивом Linux, Bashware в то время не посчитали реальной угрозой.

Теперь, четыре года спустя, вредоносное ПО на базе WSL обнаружено на просторах Сети.

В прошлый четверг Black Lotus Labs, группа исследования угроз сетевого бизнеса Lumen Technologies, заявила, что ею найдено несколько вредоносных файлов, написанных на Python 3 и скомпилированных в двоичном формате Linux ELF для Debian Linux с помощью PyInstaller.

Эти файлы действуют как загрузчики для основной нагрузки, которая либо встроена (возможно, создана с использованием инструментов с открытым исходным кодом, таких как MSFVenom или Meterpreter), либо загружается с удалённого командного сервера (C&C), а затем внедряется ​​в запущенный процесс с помощью вызовов Windows API.

По мнению специалистов Black Lotus Labs, эта первоначальная WSL-атака довольно примитивна. Тем не менее, имеющиеся образцы получили рейтинг  обнаружения один или ноль в VirusTotal, это значит, что вредоносные файлы ELF скорее всего будут пропущены  большинством антивирусных систем.

Найденный в образцах маршрутизируемый IP-адрес (185.63.90 [.] 137) связывает их с целями в Эквадоре и Франции. Они взаимодействовали с данным IP-адресом в конце июня – начале июля, вероятно, для  тестирования VPN или прокси.

Всем, кто использует WSL, Black Lotus Labs рекомендует активировать ведение журнала, чтобы обнаруживать подобные вторжения.

Хотя с WSL обычно работают только опытные пользователи, именно они часто имеют повышенные привилегии в организации. Это создает слепые зоны, особенно опасные сейчас, когда индустрия активно устраняет барьеры между различными операционными системами.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT