Güvenlik uzmanları, Linux için Windows Alt Sistemi (WSL) ortamında çalışan kötü amaçlı yazılımları keşfetti. Linux ikili programı
Sorun, Black Lotus Labs uzmanları tarafından bildirildi.Amerikan telekomünikasyon şirketi Lumen Technologies'in bir parçası. Debian Linux için Yürütülebilir ve Bağlanabilir Biçim (EFL) ikili dosyasında derlenmiş birkaç kötü amaçlı Python dosyası buldular.
Bu virüsler nasıl çalışıyor?
Bu dosyalar önyükleyici olarak görev yaptı veÖrneğin kendisine yerleştirilmiş veya uzak bir sunucudan gelen ve daha sonra Windows API çağrıları kullanılarak çalışan işleme eklenen “payload”, – Black Lotus Labs açıklıyor.
2017'de, piyasaya sürüldükten bir yıldan fazla bir süre sonraWSL, Check Point araştırmacıları, bir WSL ortamında ELF ve EXE yürütülebilir dosyalarından kötü amaçlı eylemlerin gerçekleştirilmesine izin veren Bashware adlı deneysel bir saldırı gösterdi. Ancak WSL varsayılan olarak devre dışıdır ve Windows 10 yerleşik Linux dağıtımları olmadan gelir, bu nedenle Bashware'den gelen tehdit gerçek görünmüyordu.
Ancak dört yıl sonra benzer bir şey oldu'vahşi doğada' keşfedildi. Black Lotus Labs'taki uzmanlar, kötü amaçlı kod örneklerinin VirusTotal hizmetinde minimum derecelendirmeye sahip olduğunu, bunun da çoğu antivirüs programının bunları kaçıracağı anlamına geldiğini belirtti.
Daha fazla özellik
Kötü amaçlı yazılımın iki çeşidiprogramlar. Birincisi saf Python ile yazılmıştır ve ikincisi ayrıca Windows API'sine bağlanmak ve bir PowerShell betiği çalıştırmak için bir kitaplık kullanır. Black Lotus Labs uzmanları, ikinci durumda, modülün kendi başına çalışmadığı için hala geliştirme aşamasında olduğunu öne sürüyor.
Örnek ayrıca bir IP adresi (185.63.90 [.] 137), Ekvador ve Fransa'daki, virüslü makinelerin Haziran sonu ve Temmuz başında 39000-48000 numaralı bağlantı noktaları aracılığıyla iletişim kurmaya çalıştığı hedeflerle bağlantılı. Kötü amaçlı yazılımın sahibinin bir VPN veya proxy sunucusunu test ettiği varsayılmaktadır.
Kaynak: register, lumen
Çizimler: CC0 Kamu Alanı
</ p>