Обнаружено вредоносное ПО для подсистемы Linux в Microsoft Windows

Οι ειδικοί ασφαλείας ανακάλυψαν κακόβουλο λογισμικό που εκτελείται στο περιβάλλον Windows Subsystem for Linux (WSL). binary Linux

προσπαθεί να επιτεθεί στα Windows και να κατεβάσει πρόσθετες μονάδες λογισμικού.

Το πρόβλημα αναφέρθηκε από ειδικούς της Black Lotus Labs.μέρος της αμερικανικής εταιρείας τηλεπικοινωνιών Lumen Technologies. Βρήκαν αρκετά κακόβουλα αρχεία Python που έχουν καταρτιστεί στο δυαδικό αρχείο Executable and Linkable Format (EFL) για το Debian Linux.

Πώς λειτουργούν αυτοί οι ιοί;

Αυτά τα αρχεία λειτουργούσαν ως bootloaders, ξεκινώντας“ωφέλιμο φορτίο”, το οποίο είτε ήταν ενσωματωμένο στην ίδια την παρουσία είτε προερχόταν από απομακρυσμένο διακομιστή και στη συνέχεια εισήχθη στην εκτελούμενη διαδικασία χρησιμοποιώντας κλήσεις API των Windows”, – Η Black Lotus Labs εξηγεί.

Το 2017, περισσότερο από ένα χρόνο μετά την κυκλοφορίαΟι ερευνητές του WSL, Check Point κατέδειξαν μια πειραματική επίθεση που ονομάζεται Bashware και επέτρεψε την εκτέλεση κακόβουλων ενεργειών από εκτελέσιμα ELF και EXE σε περιβάλλον WSL. Αλλά το WSL είναι απενεργοποιημένο από προεπιλογή και τα Windows 10 δεν διαθέτουν ενσωματωμένες διανομές Linux, οπότε η απειλή από το Bashware δεν φαινόταν πραγματική.

Ωστόσο, τέσσερα χρόνια αργότερα συνέβη κάτι παρόμοιοανακαλύφθηκε “στην άγρια ​​φύση”. Οι ειδικοί στο Black Lotus Labs σχολίασαν ότι τα δείγματα κακόβουλου κώδικα έχουν ελάχιστη βαθμολογία στην υπηρεσία VirusTotal, πράγμα που σημαίνει ότι τα περισσότερα προγράμματα προστασίας από ιούς θα τα χάσουν.

Πιο συγκεκριμένες

Δύο παραλλαγές του κακόβουλουπρογράμματα. Το πρώτο είναι γραμμένο σε καθαρή Python και το δεύτερο χρησιμοποιεί επιπλέον μια βιβλιοθήκη για να συνδεθεί με το API των Windows και να εκτελέσει ένα σενάριο PowerShell. Οι ειδικοί της Black Lotus Labs προτείνουν ότι στη δεύτερη περίπτωση, η μονάδα βρίσκεται ακόμη υπό ανάπτυξη, καθώς δεν λειτουργεί από μόνη της.

Το δείγμα αποκάλυψε επίσης μια διεύθυνση IP (185.63.90 [.] 137), συνδέεται με στόχους στον Ισημερινό και τη Γαλλία, από τους οποίους μολυσμένα μηχανήματα επιχείρησαν να επικοινωνήσουν μέσω των λιμένων 39000-48000 στα τέλη Ιουνίου και αρχές Ιουλίου. Θεωρείται ότι ο κάτοχος του κακόβουλου λογισμικού έχει δοκιμάσει VPN ή διακομιστή μεσολάβησης.

Πηγή: theregister, lumen

Εικονογραφήσεις: Δημόσιος τομέας CC0

</ p>