Rosszindulatú programot észleltek a Microsoft Windows Linux alrendszerében

Biztonsági szakértők rosszindulatú programokat fedeztek fel a Windows alrendszer Linuxhoz (WSL) környezetben. Linux bináris

megpróbálja megtámadni a Windowst, és további szoftvermodulokat tölt le.

A problémáról a Black Lotus Labs szakértői számoltak be.az amerikai Lumen Technologies távközlési vállalat része. Több rosszindulatú Python -fájlt találtak, amelyeket a Debian Linux számára végrehajtható és összekapcsolható formátumú (EFL) bináris fájlban fordítottak össze.

Hogyan működnek ezek a vírusok?

Ezek a fájlok rendszerbetöltőként működtek, és elindultak“payload”, amely vagy magába a példányba volt beágyazva, vagy egy távoli szerverről érkezett, majd a Windows API-hívások segítségével bekerült a futó folyamatba”, – A Black Lotus Labs elmagyarázza.

2017 -ben, több mint egy évvel a megjelenés utánA WSL, a Check Point kutatói Bashware nevű kísérleti támadást mutattak be, amely lehetővé tette, hogy rosszindulatú műveleteket hajtsanak végre ELF és EXE futtatható fájlokból WSL környezetben. De a WSL alapértelmezés szerint le van tiltva, és a Windows 10 nem rendelkezik beágyazott Linux disztribúciókkal, így a Bashware fenyegetése nem tűnt valósnak.

Négy évvel később azonban valami hasonló történtfelfedezett “vadon”. A Black Lotus Labs szakértői megjegyezték, hogy a rosszindulatú kódminták minimális minősítéssel rendelkeznek a VirusTotal szolgáltatáson, ami azt jelenti, hogy a legtöbb víruskereső program hiányozni fog.

További részletek

A rosszindulatúak két változataprogramok. Az első tiszta Python nyelven íródott, a második pedig könyvtárat használ a Windows API -hoz való csatlakozáshoz és a PowerShell -szkript futtatásához. A Black Lotus Labs szakértői azt sugallják, hogy a második esetben a modul még fejlesztés alatt áll, mivel nem működik magától.

A minta egy IP -címet is feltárt (185,63,90 [.] 137), az ecuadori és franciaországi célpontokhoz kapcsolódik, ahonnan a fertőzött gépek június végén és július elején a 39000-48000-es portokon keresztül próbáltak kommunikálni. Feltételezzük, hogy a kártevő tulajdonosa tesztelt egy VPN -t vagy proxykiszolgálót.

Forrás: theregister, lumen

Illusztrációk: CC0 Public Domain

</ p>