Drošības eksperti ir atklājuši ļaunprātīgu programmatūru, kas darbojas Windows apakšsistēmas Linux (WSL) vidē. Linux binārs
Par problēmu ziņoja Black Lotus Labs eksperti.daļa no amerikāņu telekomunikāciju uzņēmuma Lumen Technologies. Viņi atrada vairākus ļaunprātīgus Python failus, kas apkopoti izpildāmā un saistāmā formāta (EFL) binārajā versijā Debian Linux.
Kā šie vīrusi darbojas?
Šie faili darbojās kā sāknēšanas ielādētāji, palaižot“lietderīgā slodze”, kas bija iegulta pašā instancē vai nāca no attālā servera un pēc tam tika ievadīta darbības procesā, izmantojot Windows API izsaukumus”, – Black Lotus Labs skaidro.
2017. gadā, vairāk nekā gadu pēc izlaišanasWSL, Check Point pētnieki demonstrēja eksperimentālu uzbrukumu ar nosaukumu Bashware, kas ļāva ļaunprātīgas darbības veikt no ELF un EXE izpildāmām programmām WSL vidē. Bet WSL pēc noklusējuma ir atspējots, un operētājsistēmai Windows 10 ir bez iebūvētiem Linux izplatījumiem, tāpēc draudi no Bashware nešķita reāli.
Tomēr četrus gadus vēlāk notika kaut kas līdzīgsatklāts “savvaļā”. Black Lotus Labs eksperti komentēja, ka ļaunprātīgā koda paraugiem VirusTotal pakalpojumā ir noteikts minimālais vērtējums, kas nozīmē, ka lielākā daļa antivīrusu programmu tos palaidīs garām.
Vairāk specifiku
Divi ļaunprātīga variantiprogrammas. Pirmais ir rakstīts tīrā Python, bet otrais papildus izmanto bibliotēku, lai izveidotu savienojumu ar Windows API un palaistu PowerShell skriptu. Black Lotus Labs eksperti norāda, ka otrajā gadījumā modulis vēl tiek izstrādāts, jo tas nedarbojas atsevišķi.
Paraugs atklāja arī IP adresi (185,63,90 [.] 137), kas saistīts ar mērķiem Ekvadorā un Francijā, no kuriem inficētās mašīnas jūnija beigās un jūlija sākumā mēģināja sazināties caur 39000-48000 ostām. Tiek pieņemts, ka ļaunprātīgas programmatūras īpašnieks ir pārbaudījis VPN vai starpniekserveri.
Avots: theregister, lumens
Ilustrācijas: CC0 Public Domain
</ p>