近日,安全專家發(fā)現(xiàn)了針對WindowsSubsystem for Linux(WSL)創(chuàng)建的惡意Linux安裝文件����,表明黑客正在嘗試用新的方法來破壞Windows設(shè)備。這一發(fā)現(xiàn)強(qiáng)調(diào)了威脅者正在探索新的攻擊方法�,并將注意力集中在WSL上以逃避檢測��。
首批針對WSL環(huán)境的攻擊樣本在今年5月初被發(fā)現(xiàn)�����,到8月22日之前持續(xù)每2-3周出現(xiàn)一次����。在今天的一份報(bào)告中��,Lumen公司BlackLotus Labs 的安全研究人員說����,這些惡意文件要么嵌入了有效載荷����,要么從遠(yuǎn)程服務(wù)器獲取。
下一步是利用 Windows API調(diào)用將惡意軟件注入一個正在運(yùn)行的進(jìn)程�����,這種技術(shù)既不新鮮也不復(fù)雜����。從發(fā)現(xiàn)的少量樣本中,只有一個樣本帶有一個可公開路由的IP地址���,暗示威脅者正在測試使用WSL在Windows上安裝惡意軟件�。惡意文件主要依靠Python3 來執(zhí)行其任務(wù)����,并使用PyInstaller將其打包成用于Debian的ELF可執(zhí)行文件。
BlackLotus Labs 表示:“正如VirusTotal上檢測率所表明的那樣���,大多數(shù)為Windows系統(tǒng)設(shè)計(jì)的終端代理并沒有建立分析ELF文件的簽名�,盡管它們經(jīng)常檢測到具有類似功能的非WSL代理”。不到一個月前���,其中一個惡意的Linux文件僅被VirusTotal上的一個反病毒引擎檢測到���。對另一個樣本進(jìn)行刷新掃描顯示,它完全沒有被掃描服務(wù)中的引擎檢測到�。
其中一個變種完全用Python3 編寫,不使用任何WindowsAPI�,似乎是對WSL的加載器的首次嘗試。它使用標(biāo)準(zhǔn)的Python庫�����,這使得它與Windows和Linux都兼容����。
研究人員在一個測試樣本中發(fā)現(xiàn)了用俄語打印“HelloSanya”的代碼��。除了一個與該樣本相關(guān)的文件外�����,其他文件都包含本地IP地址,而公共IP則指向185.63.90[.]137�,當(dāng)研究人員試圖抓取有效載荷時(shí),該IP已經(jīng)離線����。
另一個“ELF到Windows”的加載器變體依靠PowerShell來注入和執(zhí)行shellcode。其中一個樣本使用Python調(diào)用函數(shù)���,殺死正在運(yùn)行的防病毒解決方案�����,在系統(tǒng)上建立持久性����,并每20秒運(yùn)行一個PowerShell腳本�����。根據(jù)分析幾個樣本時(shí)觀察到的不一致之處��,研究人員認(rèn)為��,該代碼仍在開發(fā)中,盡管處于最后階段�����。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請謹(jǐn)慎對待���。投資者據(jù)此操作���,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號