Bezpečnostní experti objavili malvér spustený v prostredí Windows Subsystem for Linux (WSL). Linux binárne
Na problém upozornili odborníci z Black Lotus Labs.súčasť americkej telekomunikačnej spoločnosti Lumen Technologies. Našli niekoľko škodlivých súborov Python kompilovaných v binárnom formáte Executable and Linkable Format (EFL) pre Debian Linux.
Ako tieto vírusy fungujú?
Tieto súbory fungovali ako zavádzače a spúšťali sa“payload”, ktorý bol buď vložený do samotnej inštancie, alebo pochádzal zo vzdialeného servera a potom bol vložený do spusteného procesu pomocou volaní rozhrania Windows API”, – Black Lotus Labs vysvetľuje.
V roku 2017, viac ako rok po vydaníVýskumníci WSL a Check Point predviedli experimentálny útok s názvom Bashware, ktorý umožňoval vykonávať škodlivé akcie zo spustiteľných súborov ELF a EXE v prostredí WSL. WSL je však v predvolenom nastavení zakázaný a Windows 10 neobsahuje žiadne vstavané distribúcie Linuxu, takže hrozba zo strany Bashware sa nezdala byť skutočná.
O štyri roky neskôr sa však stalo niečo podobnéobjavený “vo voľnej prírode”. Odborníci z Black Lotus Labs sa vyjadrili, že vzorky škodlivého kódu majú minimálne hodnotenie v službe VirusTotal, čo znamená, že väčšina antivírusových programov ich prehliadne.
Viac špecifík
Dve varianty zlomyseľnýchprogramy. Prvý je napísaný v čistom Pythone a druhý navyše používa knižnicu na pripojenie k rozhraniu Windows API a spustenie skriptu PowerShell. Experti Black Lotus Labs naznačujú, že v druhom prípade je modul stále vo vývoji, pretože sám nepracuje.
Vzorka tiež odhalila IP adresu (185,63,90 [.] 137), spojený s cieľmi v Ekvádore a Francúzsku, z ktorých sa infikované stroje pokúšali komunikovať prostredníctvom prístavov 39000-48000 na konci júna a začiatkom júla. Predpokladá sa, že vlastník malvéru testoval VPN alebo proxy server.
Zdroj: register, lumen
Ilustrácie: CC0 Public Domain
</ p>