보안 전문가들이 WSL(Linux용 Windows 하위 시스템) 환경에서 실행되는 악성 코드를 발견했습니다. 리눅스 바이너리
이 문제는 Black Lotus Labs의 전문가에 의해 보고되었습니다.미국 통신 회사 Lumen Technologies의 일부입니다. 그들은 Debian Linux용 EFL(Executable and Linkable Format) 바이너리로 컴파일된 여러 악성 Python 파일을 발견했습니다.
이 바이러스는 어떻게 작동합니까?
이 파일은 부트로더 역할을 하여인스턴스 자체에 내장되었거나 원격 서버에서 가져온 다음 Windows API 호출을 사용하여 실행 중인 프로세스에 삽입된 '페이로드', – Black Lotus Labs가 설명합니다.
출시 1년여가 지난 2017년WSL, Check Point 연구원들은 WSL 환경의 ELF 및 EXE 실행 파일에서 악의적인 작업을 수행할 수 있는 Bashware라는 실험적 공격을 시연했습니다. 그러나 WSL은 기본적으로 비활성화되어 있고 Windows 10에는 Linux 배포가 포함되어 있지 않으므로 Bashware의 위협은 실제처럼 보이지 않았습니다.
그런데 4년 뒤에도 비슷한 일이 일어났습니다.'야생에서' 발견되었습니다. Black Lotus Labs의 전문가들은 악성 코드 샘플이 VirusTotal 서비스에서 최소 등급을 갖고 있으며 이는 대부분의 바이러스 백신 프로그램이 이를 놓칠 수 있음을 의미한다고 말했습니다.
자세한 내용
악성 코드의 두 가지 변종프로그램들. 첫 번째는 순수 Python으로 작성되었으며 두 번째는 추가로 라이브러리를 사용하여 Windows API에 연결하고 PowerShell 스크립트를 실행합니다. Black Lotus Labs 전문가는 두 번째 경우에 모듈이 자체적으로 작동하지 않기 때문에 모듈이 아직 개발 중이라고 제안합니다.
샘플은 또한 IP 주소(185.63.90 [.] 137) 6월 말과 7월 초에 감염된 기계가 포트 39000-48000을 통해 통신을 시도한 에콰도르와 프랑스의 표적과 연결되었습니다. 악성코드의 소유자가 VPN 또는 프록시 서버를 테스트한 것으로 가정합니다.
출처: 더레지스터, 루멘
그림: CC0 공개 도메인
</ p>