מומחי אבטחה גילו תוכנות זדוניות הפועלות ב-Windows Subsystem for Linux (WSL). לינוקס בינארי
דיווחו על הבעיה על ידי מומחים ממעבדות Black Lotus.חלק מחברת התקשורת האמריקאית לומן טכנולוגיות. הם מצאו כמה קבצי Python זדוניים שנאספו בפורמט הבינארי Executable and Linkable Format (EFL) עבור Debian Linux.
איך הוירוסים האלה עובדים?
קבצים אלה פעלו כמטעני אתחול, שהושקו“loadload”, שהוטבע במופע עצמו, או הגיע משרת מרוחק ולאחר מכן הוזרק לתהליך הפועל באמצעות קריאות Windows API”, – Black Lotus Labs מסביר.
בשנת 2017, יותר משנה לאחר השחרורחוקרי WSL, צ'ק פוינט הדגימו מתקפה ניסיונית בשם Bashware שאפשרה לבצע פעולות זדוניות מתוך קובצי הפעלה של ELF ו-EXE בסביבת WSL. אבל WSL מושבת כברירת מחדל, ו-Windows 10 מגיעה ללא הפצות לינוקס משובצות, כך שהאיום מ-Bashware לא נראה אמיתי.
עם זאת, ארבע שנים לאחר מכן קרה דבר דומההתגלה “בטבע”. מומחים ב-Black Lotus Labs העירו שלדגימות הקוד הזדוני יש דירוג מינימלי בשירות VirusTotal, מה שאומר שרוב תוכניות האנטי-וירוס יחמיצו אותן.
פרטים נוספים
שתי גרסאות של הזדוניותתוכניות. הראשון כתוב בפייתון טהור, והשני משתמש בנוסף בספריה כדי להתחבר ל-Windows API ולהפעיל סקריפט PowerShell. מומחי Black Lotus Labs מציעים שבמקרה השני, המודול עדיין בפיתוח, מכיוון שהוא לא עובד לבד.
המדגם חשפה גם כתובת IP (185.63.90 [.] 137), מקושר למטרות באקוודור ובצרפת, שמהן ניסו מכונות נגועות לתקשר דרך נמלים 39000-48000 בסוף יוני ובתחילת יולי. ההנחה היא שהבעלים של התוכנה הזדונית בדק שרת VPN או פרוקסי.
מקור: theregister, לומן
איורים: CC0 Public Domain
</ p>