Sikkerhedseksperter har opdaget malware, der kører i Windows Subsystem for Linux (WSL) miljøet. Linux binær
Problemet blev rapporteret af eksperter fra Black Lotus Labs.en del af det amerikanske teleselskab Lumen Technologies. De fandt adskillige ondsindede Python-filer kompileret i det eksekverbare og linkbare format (EFL) binær til Debian Linux.
Hvordan virker disse vira?
Disse filer fungerede som bootloadere og startede“payload”, som enten var indlejret i selve instansen eller kom fra en ekstern server og derefter blev injiceret i den kørende proces ved hjælp af Windows API-kald”, – Black Lotus Labs forklarer.
I 2017, mere end et år efter udgivelsenWSL, Check Point-forskere demonstrerede et eksperimentelt angreb kaldet Bashware, der gjorde det muligt at udføre ondsindede handlinger fra ELF- og EXE-eksekverbare filer i et WSL-miljø. Men WSL er deaktiveret som standard, og Windows 10 kommer uden indlejrede Linux-distributioner, så truslen fra Bashware virkede ikke reel.
Men fire år senere skete noget lignendeopdaget “i naturen”. Eksperter hos Black Lotus Labs kommenterede, at de ondsindede kodeprøver har en minimumsvurdering på VirusTotal-tjenesten, hvilket betyder, at de fleste antivirusprogrammer vil savne dem.
Flere detaljer
To varianter af det ondsindedeprogrammer. Den første er skrevet i ren Python, og den anden bruger desuden et bibliotek til at oprette forbindelse til Windows API og køre et PowerShell-script. Black Lotus Labs-eksperter foreslår, at i det andet tilfælde er modulet stadig under udvikling, da det ikke fungerer alene.
Prøven afslørede også en IP-adresse (185.63.90 [.] 137), knyttet til mål i Ecuador og Frankrig, hvorfra inficerede maskiner forsøgte at kommunikere gennem havne 39000-48000 i slutningen af juni og begyndelsen af juli. Det antages, at ejeren af malwaren har testet en VPN- eller proxyserver.
Kilde: theregister, lumen
Illustrationer: CC0 Public Domain
</ p>