Experții în securitate au descoperit malware care rulează în mediul Windows Subsystem for Linux (WSL). Binar Linux
Problema a fost semnalată de experți de la Black Lotus Labs.parte a companiei americane de telecomunicații Lumen Technologies. Au găsit mai multe fișiere Python rău intenționate compilate în binarul Executable and Linkable Format (EFL) pentru Debian Linux.
Cum funcționează acești viruși?
Aceste fișiere au acționat ca bootloadere, lansând“sarcină utilă”, care a fost fie încorporată în instanță în sine, fie a venit de la un server la distanță și a fost apoi injectată în procesul de rulare folosind apeluri API Windows”, – Black Lotus Labs explică.
În 2017, la mai mult de un an de la lansareCercetătorii WSL, Check Point au demonstrat un atac experimental numit Bashware care a permis efectuarea de acțiuni rău intenționate din executabilele ELF și EXE într-un mediu WSL. Dar WSL este dezactivat în mod implicit, iar Windows 10 vine fără distribuții Linux încorporate, astfel încât amenințarea de la Bashware nu părea reală.
Cu toate acestea, patru ani mai târziu, s-a întâmplat ceva similardescoperit “în sălbăticie”. Experții de la Black Lotus Labs au comentat că mostrele de cod rău intenționat au un rating minim pe serviciul VirusTotal, ceea ce înseamnă că majoritatea programelor antivirus le vor lipsi.
Mai multe detalii
Două variante ale rău intenționatprograme. Primul este scris în Python pur, iar al doilea folosește suplimentar o bibliotecă pentru a se conecta la API-ul Windows și a rula un script PowerShell. Experții Black Lotus Labs sugerează că, în al doilea caz, modulul este încă în curs de dezvoltare, deoarece nu funcționează singur.
Eșantionul a dezvăluit și o adresă IP (185.63.90 [.] 137), legat de ținte din Ecuador și Franța, de la care mașinile infectate au încercat să comunice prin porturile 39000-48000 la sfârșitul lunii iunie și începutul lunii iulie. Se presupune că proprietarul malware-ului a testat un VPN sau un server proxy.
Sursa: thereregistru, lumen
Ilustrații: CC0 Public Domain
</ p>