Tietoturvaasiantuntijat ovat havainneet haittaohjelmia, jotka toimivat Windows Subsystem for Linux (WSL) -ympäristössä. Linuxin binaari
Ongelmasta kertoivat Black Lotus Labsin asiantuntijat.osa amerikkalaista televiestintäyritystä Lumen Technologiesia. He löysivät useita haitallisia Python -tiedostoja, jotka on koottu EFL (Executable and Linkable Format) -binaariin Debian Linuxille.
Miten nämä virukset toimivat?
Nämä tiedostot toimivat käynnistyslataintena ja käynnistyivät“hyötykuorma”, joka oli joko upotettu itse ilmentymään tai tuli etäpalvelimelta ja lisättiin sitten käynnissä olevaan prosessiin Windowsin API-kutsujen avulla”, – Black Lotus Labs selittää.
Vuonna 2017, yli vuosi julkaisun jälkeenWSL, Check Pointin tutkijat osoittivat kokeellisen hyökkäyksen nimeltä Bashware, joka salli haitallisten toimien suorittamisen ELF- ja EXE -suoritettavista tiedostoista WSL -ympäristössä. Mutta WSL on oletusarvoisesti poissa käytöstä, ja Windows 10: ssä ei ole sisäänrakennettuja Linux-jakeluja, joten Bashwaren uhka ei tuntunut todelliselta.
Neljä vuotta myöhemmin tapahtui kuitenkin jotain vastaavaalöydetty “luonnosta”. Black Lotus Labsin asiantuntijat kommentoivat, että haitallisilla koodinäytteillä on VirusTotal-palvelun vähimmäisluokitus, mikä tarkoittaa, että useimmat virustorjuntaohjelmat jäävät huomaamatta.
Tarkempia yksityiskohtia
Haittaohjelmasta kaksi vaihtoehtoaohjelmia. Ensimmäinen on kirjoitettu puhtaalla Pythonilla, ja toinen käyttää lisäksi kirjastoa muodostaakseen yhteyden Windows -sovellusliittymään ja suorittaakseen PowerShell -komentosarjan. Black Lotus Labsin asiantuntijat ehdottavat, että toisessa tapauksessa moduuli on edelleen kehitteillä, koska se ei toimi yksin.
Näyte paljasti myös IP -osoitteen (185,63,90 [.] 137), joka liittyy Ecuadorin ja Ranskan kohteisiin, joista tartunnan saaneet koneet yrittivät kommunikoida satamien 39000-48000 kautta kesäkuun lopussa ja heinäkuun alussa. Oletetaan, että haittaohjelman omistaja on testannut VPN- tai välityspalvelinta.
Lähde: theregister, lumen
Kuvitukset: CC0 Public Domain
</ p>