Виявлено шкідливі програми для підсистеми Linux в Microsoft Windows

Автор: Юрій Станіславський | 20 вересня 2021, 12:25

Експерти з безпеки виявили шкідливе ПО, яке працює в середовищі Windows Subsystem for Linux (WSL). Двійковий файл Linux намагається атакувати Windows і завантажити додаткові програмні модулі.

Про проблему повідомили експерти з Black Lotus Labs, що входить до складу американської телекомунікаційної компанії Lumen Technologies. Вони виявили кілька шкідливих файлів Python, скомпільованих у двоїчному форматі EFL (Executable and Linkable Format) для Debian Linux.

Як влаштовані такі віруси

Ці файли діяли як завантажувачі, запускаючи "корисне навантаження", яка була або вбудована в сам екземпляр, або надходила з віддаленого сервера і потім впроваджувалася в запущений процес за допомогою викликів Windows API ", - пояснюють в Black Lotus Labs.

У 2017 році, більш ніж через рік після випуску WSL, дослідники Check Point продемонстрували експериментальну атаку під назвою Bashware, яка дозволяла виконувати шкідливі дії з виконуваних файлів ELF і EXE в середовищі WSL. Але WSL відключена за замовчуванням, а Windows 10 поставляється без вбудованих дистрибутивів Linux, тому загроза з боку Bashware не здавалася реальною.

Однак через чотири роки щось подібне було виявлено "в дикій природі". Експерти Black Lotus Labs прокоментували, що зразки шкідливого коду мають мінімальний рейтинг на сервісі VirusTotal, що означає, що більшість антивірусних програм пропустять їх.

більше конкретики

Було виявлено два варіанти шкідливої програми. Перший написаний на чистому Python, а другий додатково використовує бібліотеку для підключення до Windows API і запуску сценарію PowerShell. Експерти Black Lotus Labs припускають, що в другому випадку модуль все ще перебуває в стадії розробки, так як не працює самостійно.

Зразок також виявив IP-адреса (185.63.90 [.] 137), пов'язані з цілями в Еквадорі і Франції, з якого заражені машини намагалися встановити зв'язок через порти 39000-48000 в кінці червня та на початку липня. Передбачається, що власник шкідливої програми тестував VPN або проксі-сервер.

джерело: theregisterlumen

ілюстрації: CC0 Public Domain