Złośliwe oprogramowanie wykryte dla podsystemu Linux w systemie Microsoft Windows

Eksperci ds. bezpieczeństwa odkryli złośliwe oprogramowanie działające w środowisku podsystemu Windows dla systemu Linux (WSL). Binarny Linux

próbuje zaatakować system Windows i pobrać dodatkowe moduły oprogramowania.

Problem został zgłoszony przez ekspertów z Black Lotus Labs.część amerykańskiej firmy telekomunikacyjnej Lumen Technologies. Znaleźli kilka złośliwych plików Pythona skompilowanych w pliku binarnym Executable and Linkable Format (EFL) dla systemu Debian Linux.

Jak działają te wirusy?

Pliki te działały jako programy ładujące i uruchamiały się„ładunek”, który albo został osadzony w samej instancji, albo pochodził ze zdalnego serwera, a następnie został wstrzyknięty do działającego procesu za pomocą wywołań interfejsu API systemu Windows”, „” Wyjaśnia Black Lotus Labs.

W 2017 roku, ponad rok po premierzeBadacze z firmy WSL i Check Point zademonstrowali eksperymentalny atak o nazwie Bashware, który umożliwiał wykonywanie złośliwych działań z plików wykonywalnych ELF i EXE w środowisku WSL. Ale WSL jest domyślnie wyłączone, a Windows 10 jest dostarczany bez wbudowanych dystrybucji Linuksa, więc zagrożenie ze strony Bashware nie wydawało się realne.

Jednak cztery lata później wydarzyło się coś podobnegoodkryte „na wolności”. Eksperci z Black Lotus Labs skomentowali, że próbki złośliwego kodu mają minimalną ocenę w serwisie VirusTotal, co oznacza, że ​​większość programów antywirusowych je przeoczy.

Więcej szczegółów

Dwa warianty złośliwego oprogramowaniaprogramy. Pierwszy jest napisany w czystym Pythonie, a drugi dodatkowo wykorzystuje bibliotekę do łączenia się z Windows API i uruchamiania skryptu PowerShell. Eksperci Black Lotus Labs sugerują, że w drugim przypadku moduł jest wciąż w fazie rozwoju, ponieważ nie działa samodzielnie.

Образец также выявил IP-адрес (185.63.90[.] 137), powiązany z celami w Ekwadorze i Francji, z których zainfekowane maszyny próbowały komunikować się przez porty 39000-48000 pod koniec czerwca i na początku lipca. Zakłada się, że właściciel szkodliwego oprogramowania przetestował VPN lub serwer proxy.

Źródło: aregister, lumen

Ilustracje: domena publiczna CC0

</ p>