Stručnjaci za sigurnost otkrili su zlonamjerni softver koji radi u okruženju Windows podsustava za Linux (WSL). Linux binarni
Problem su prijavili stručnjaci iz Black Lotus Labs -a.dio američke telekomunikacijske tvrtke Lumen Technologies. Pronašli su nekoliko zlonamjernih Python datoteka sastavljenih u binarnom obliku izvršnog i povezivog formata (EFL) za Debian Linux.
Kako ti virusi djeluju?
Ove su datoteke djelovale kao programi za podizanje sustava, pokretanje“korisni teret”, koji je bio ugrađen u samu instancu ili je došao s udaljenog poslužitelja i zatim je umetnut u pokrenuti proces pomoću Windows API poziva”, – Black Lotus Labs objašnjava.
2017., više od godinu dana nakon objavljivanjaWSL, Check Point istraživači demonstrirali su eksperimentalni napad nazvan Bashware koji je dopuštao izvođenje zlonamjernih radnji iz izvršnih datoteka ELF i EXE u WSL okruženju. No WSL je prema zadanim postavkama onemogućen, a Windows 10 nema ugrađene Linux distribucije, pa se prijetnja iz Bashwarea nije činila stvarnom.
Međutim, četiri godine kasnije dogodilo se nešto sličnootkriven “u divljini”. Stručnjaci iz Black Lotus Labsa komentirali su da uzorci malicioznog koda imaju minimalnu ocjenu na servisu VirusTotal, što znači da će ih većina antivirusnih programa propustiti.
Više konkretnosti
Dvije varijante zlonamjernogprograma. Prvi je napisan na čistom Pythonu, a drugi dodatno koristi biblioteku za povezivanje s Windows API -jem i pokretanje PowerShell skripte. Stručnjaci Black Lotus Labsa sugeriraju da je u drugom slučaju modul još uvijek u razvoju, jer ne radi sam.
Uzorak je otkrio i IP adresu (185.63.90 [.] 137), povezane s ciljevima u Ekvadoru i Francuskoj, odakle su zaraženi strojevi pokušali komunicirati preko luka 39000-48000 krajem lipnja i početkom srpnja. Pretpostavlja se da je vlasnik zlonamjernog softvera testirao VPN ili proxy poslužitelj.
Izvor: theregister, lumen
Ilustracije: CC0 javna domena
</ p>