Обнаружено вредоносное ПО для подсистемы Linux в Microsoft Windows

Автор: Юрий Станиславский, 20 сентября 2021, 12:25

Эксперты по безопасности обнаружили вредоносное ПО, работающее в среде Windows Subsystem for Linux (WSL). Двоичный файл Linux пытается атаковать Windows и загрузить дополнительные программные модули.

О проблеме сообщили эксперты из Black Lotus Labs, входящей в состав американской телекоммуникационной компании Lumen Technologies. Они обнаружили несколько вредоносных файлов Python, скомпилированных в двоичном формате EFL (Executable and Linkable Format) для Debian Linux.

Как устроены такие вирусы

Эти файлы действовали как загрузчики, запуская "полезную нагрузку", которая была либо встроена в сам экземпляр, либо поступала с удаленного сервера и затем внедрялась в запущенный процесс с помощью вызовов Windows API", - поясняют в Black Lotus Labs.

В 2017 году, более чем через год после выпуска WSL, исследователи Check Point продемонстрировали экспериментальную атаку под названием Bashware, которая позволяла выполнять вредоносные действия из исполняемых файлов ELF и EXE в среде WSL. Но WSL отключена по умолчанию, а Windows 10 поставляется без встроенных дистрибутивов Linux, поэтому угроза со стороны Bashware не казалась реальной.

Однако четыре года спустя нечто подобное было обнаружено "в дикой природе". Эксперты Black Lotus Labs прокомментировали, что образцы вредоносного кода имеют минимальный рейтинг на сервисе VirusTotal, что означает, что большинство антивирусных программ пропустят их.

Больше конкретики

Было обнаружено два варианта вредоносной программы. Первый написан на чистом Python, а второй дополнительно использует библиотеку для подключения к Windows API и запуска сценария PowerShell. Эксперты Black Lotus Labs предполагают, что во втором случае модуль все еще находится в стадии разработки, так как не работает самостоятельно.

Образец также выявил IP-адрес (185.63.90[.]137), связанный с целями в Эквадоре и Франции, с которого зараженные машины пытались установить связь через порты 39000-48000 в конце июня и начале июля. Предполагается, что владелец вредоносной программы тестировал VPN или прокси-сервер.

Источник: theregisterlumen

Иллюстрации: CC0 Public Domain

Для тех, кто хочет знать больше: