Złośliwe oprogramowanie dla podsystemu Linux wykryte w systemie Microsoft Windows

Yuriy Stanislavskiy
20.09.2021, 11:25
Złośliwe oprogramowanie dla podsystemu Linux wykryte w systemie Microsoft Windows

Eksperci ds. bezpieczeństwa wykryli złośliwe oprogramowanie działające w środowisku Windows Subsystem for Linux (WSL). Binarna wersja Linuksa próbuje zaatakować system Windows i pobrać dodatkowe moduły oprogramowania.

Problem został zgłoszony przez ekspertów z Black Lotus Labs, części amerykańskiej firmy telekomunikacyjnej Lumen Technologies. Znaleźli oni kilka złośliwych plików Pythona skompilowanych w formacie binarnym EFL (Executable and Linkable Format) dla systemu Debian Linux.

Jak zbudowane są takie wirusy

Pliki te działały jak loadery, uruchamiając "payload", który był albo osadzony w samej instancji, albo pochodził ze zdalnego serwera, a następnie wstrzykiwany do uruchomionego procesu za pomocą wywołań Windows API" - wyjaśnia Black Lotus Labs.

W 2017 roku, ponad rok po wydaniu WSL, badacze firmy Check Point zademonstrowali eksperymentalny atak o nazwie Bashware, który pozwalał na wykonanie złośliwych akcji z plików wykonywalnych ELF i EXE w środowisku WSL. Ale WSL jest domyślnie wyłączony, a Windows 10 jest dostarczany bez wbudowanych dystrybucji Linuksa, więc zagrożenie ze strony Bashware nie wydawało się realne.

Cztery lata później coś podobnego zostało jednak odkryte "na wolności". Eksperci z Black Lotus Labs komentują, że próbki złośliwego oprogramowania miały minimalną ocenę w serwisie VirusTotal, co oznacza, że większość programów antywirusowych je przeoczy.

Więcej szczegółów

Znaleziono dwa warianty złośliwego oprogramowania. Pierwszy z nich napisany jest w czystym Pythonie, natomiast drugi dodatkowo wykorzystuje bibliotekę do łączenia się z API Windows i uruchamiania skryptów PowerShell. Eksperci Black Lotus Labs sugerują, że w drugim przypadku moduł jest wciąż w fazie rozwoju, gdyż nie działa samodzielnie.

Próbka ujawniła również adres IP (185.63.90[.]137) powiązany z celami w Ekwadorze i Francji, z którego zainfekowane maszyny próbowały łączyć się przez porty 39000-48000 pod koniec czerwca i na początku lipca. Uważa się, że właściciel złośliwego oprogramowania testował VPN lub serwer proxy.

Źródło: theregisterlumen

Ilustracja: CC0 Public Domain

var _paq = window._paq = window._paq || []; _paq.push(['trackPageView']); _paq.push(['enableLinkTracking']); (function() { var u='//mm.magnet.kiev.ua/'; _paq.push(['setTrackerUrl', u+'matomo.php']); _paq.push(['setSiteId', '2']); var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0]; g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s); })();