ผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบมัลแวร์ที่ทำงานในสภาพแวดล้อม Windows Subsystem for Linux (WSL) ไบนารีลินุกซ์
ปัญหาได้รับการรายงานโดยผู้เชี่ยวชาญจาก Black Lotus Labsส่วนหนึ่งของบริษัทโทรคมนาคมอเมริกัน Lumen Technologies พวกเขาพบไฟล์ Python ที่เป็นอันตรายหลายไฟล์ที่คอมไพล์ในไบนารี Executable และ Linkable Format (EFL) สำหรับ Debian Linux
ไวรัสเหล่านี้ทำงานอย่างไร?
ไฟล์เหล่านี้ทำหน้าที่เป็น bootloaders และเปิดตัว“เพย์โหลด” ซึ่งฝังอยู่ในอินสแตนซ์นั้นเอง หรือมาจากเซิร์ฟเวอร์ระยะไกล จากนั้นจึงถูกแทรกเข้าไปในกระบวนการที่ทำงานอยู่โดยใช้การเรียก Windows API”, – Black Lotus Labs อธิบาย
ในปี 2560 มากกว่าหนึ่งปีหลังจากการเปิดตัวWSL นักวิจัยของ Check Point ได้สาธิตการโจมตีแบบทดลองที่เรียกว่า Bashware ซึ่งอนุญาตให้มีการดำเนินการที่เป็นอันตรายจากไฟล์เรียกทำงานของ ELF และ EXE ในสภาพแวดล้อม WSL แต่ WSL ถูกปิดใช้งานโดยค่าเริ่มต้น และ Windows 10 มาโดยไม่มีการกระจาย Linux ในตัว ดังนั้นภัยคุกคามจาก Bashware จึงดูไม่เป็นจริง
อย่างไรก็ตาม สี่ปีต่อมา สิ่งที่คล้ายกันก็เกิดขึ้นถูกค้นพบ “ในป่า” ผู้เชี่ยวชาญที่ Black Lotus Labs ให้ความเห็นว่าตัวอย่างโค้ดที่เป็นอันตรายมีระดับขั้นต่ำในบริการ VirusTotal ซึ่งหมายความว่าโปรแกรมป้องกันไวรัสส่วนใหญ่จะพลาดไป
เฉพาะเจาะจงมากขึ้น
สองตัวแปรที่เป็นอันตรายโปรแกรม อันแรกเขียนด้วย Python ล้วนๆ และอันที่สองใช้ไลบรารีเพิ่มเติมเพื่อเชื่อมต่อกับ Windows API และเรียกใช้สคริปต์ PowerShell ผู้เชี่ยวชาญของ Black Lotus Labs แนะนำว่าในกรณีที่สอง โมดูลยังอยู่ระหว่างการพัฒนา เนื่องจากไม่ทำงานด้วยตัวเอง
ตัวอย่างยังเปิดเผยที่อยู่ IP (185.63.90 [.] 137) เชื่อมโยงกับเป้าหมายในเอกวาดอร์และฝรั่งเศส ซึ่งเครื่องที่ติดเชื้อพยายามสื่อสารผ่านพอร์ต 39000-48000 ในปลายเดือนมิถุนายนและต้นเดือนกรกฎาคม สันนิษฐานว่าเจ้าของมัลแวร์ได้ทดสอบ VPN หรือพร็อกซีเซิร์ฟเวอร์
ที่มา: theregister, lumen
ภาพประกอบ: CC0 โดเมนสาธารณะ
</ p>