Обзор Обнаружен новый вредонос, использующий для атаки Linux-подсистему в Windows

[Обзор]

Исследователи безопасности обнаружили новый тип вредоносного ПО, которое использует подсистему Windows для Linux (WSL) в качестве скрытой атаки. Такие атаки могут осуществляться с использованием вредоносных двоичных файлов Linux, причём этот способ ранее на практике не применялся, но в теории допускался. Проблема была обнаружена исследователями из Black Lotus Labs, которые описывают её как первый случай, когда злоумышленники злоупотребляют WSL для установки дополнительных модулей.

Исследователи идентифицировали несколько вредоносных файлов, которые были написаны в основном на Python 3 и скомпилированы в формате Linux ELF (Executable and Linkable Format) для Debian. Эти файлы использовались в качестве загрузчиков, которые запускали полезную нагрузку, а затем происходило внедрение вредоноса в работающий процесс с помощью Windows API.

Примечательно, что у найденных образцов были низкие показатели обнаружения на Virus Total.

В то время, как один вариант загрузчика ELF использовал чистый Python, другой полагался на PowerShell для внедрения и выполнения кода. Этот вариант всё ещё находится в стадии исследований и разработок. Исследователи безопасности обеспокоены тем, что подсистема Windows для Linux позволяет этим атакам легко ускользнуть из поля зрения и остаться совершенно незамеченными. Более подробную информацию об этом типе атаки можно узнать в блоге Black Lotus Labs.