Експертите по сигурността са открили злонамерен софтуер, работещ в средата на Windows Subsystem for Linux (WSL). Linux двоичен файл
Проблемът е докладван от експерти от Black Lotus Labs.част от американската телекомуникационна компания Lumen Technologies. Те откриха няколко злонамерени файла Python, компилирани в двоичния файл за изпълним и свързващ формат (EFL) за Debian Linux.
Как работят тези вируси?
Тези файлове действаха като стартиращи програми за зареждане“полезен товар”, който или е вграден в самия екземпляр, или идва от отдалечен сървър и след това е инжектиран в изпълнявания процес с помощта на Windows API извиквания”, – Black Lotus Labs обяснява.
През 2017 г., повече от година след излизанетоИзследователите на WSL, Check Point демонстрираха експериментална атака, наречена Bashware, която позволява извършването на злонамерени действия от изпълнимите на ELF и EXE в WSL среда. Но WSL е деактивиран по подразбиране и Windows 10 идва без вградени дистрибуции на Linux, така че заплахата от Bashware не изглеждаше реална.
Четири години по-късно обаче се случи нещо подобнооткрит “в дивата природа”. Експерти от Black Lotus Labs коментираха, че примерите за зловреден код имат минимален рейтинг в услугата VirusTotal, което означава, че повечето антивирусни програми ще ги пропуснат.
Повече конкретика
Два варианта на злонамеренияпрограми. Първият е написан на чист Python, а вторият допълнително използва библиотека, за да се свърже с Windows API и да изпълнява скрипт PowerShell. Експертите на Black Lotus Labs предполагат, че във втория случай модулът все още се разработва, тъй като не работи самостоятелно.
Пробата също разкри IP адрес (185.63.90 [.] 137), свързани с цели в Еквадор и Франция, от които заразените машини се опитаха да комуникират през пристанища 39000-48000 в края на юни и началото на юли. Предполага се, че собственикът на зловредния софтуер е тествал VPN или прокси сървър.
Източник: theregister, lumen
Илюстрации: CC0 Public Domain
</ P>